0x01 序言
在黑帽SEO中,通常会遇到利用easy file locke来实现驱动隐蔽的方式。
0x02 实验
https://download.cnet.com/Easy-File-Locker-64-bit/3000-2144_4-75712422.html
将123.txt文件隐藏
可以看到123.txt文件已经被隐藏
勾选显示隐藏文件也无法发现文件
dir /AH
也无法显示
0x03 排查
这个软件隐藏文件是会启动一个名为xlkfs的服务,使用常规方式查不出来
wmic service where name='xlkfs' list
可以使用sc进行查询
sc query xlkfs
sc qc xlkfs
在注册表中也能看到下可以看到xlkfs文件
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservices
0x04 处置
停止服务
sc stop xlkfs
将所有的xlkfs文件删除
此隐藏方式对WebShell无效
成功隐藏
本地访问
web访问
静态网页可以访问
0x04 靶场练习
墨者靶场:电子数据取证-木马分析(第一题)
https://www.mozhe.cn/bug/detail/UHpRcDlZV2J0NmxSYXFPR0g2MUxaQT09bW96aGUmozhe
原文始发于微信公众号(乌托邦安全团队):Windows应急响应-文件隐藏
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论