ExcelHome技术论坛

 找回密码
 免费注册

QQ登录

只需一步,快速开始

快捷登录

搜索
EH技术汇-专业的职场技能充电站 妙哉!函数段子手趣味讲函数 Excel服务器-会Excel,做管理系统 效率神器,一键搞定繁琐工作
HR薪酬管理数字化实战 Excel 2021函数公式学习大典 Excel数据透视表实战秘技 打造核心竞争力的职场宝典
让更多数据处理,一键完成 数据工作者的案头书 免费直播课集锦 ExcelHome出品 - VBA代码宝免费下载
用ChatGPT与VBA一键搞定Excel WPS表格从入门到精通 Excel VBA经典代码实践指南
查看: 3697|回复: 2

请教:如何删除超长目录中隐藏的木马

[复制链接]

TA的精华主题

TA的得分主题

发表于 2009-11-20 22:05 | 显示全部楼层 |阅读模式
今天看了 lfspecter 的“知马识马不养马”一文,受益匪浅。
其中一个关于“可怕的超长目录中隐藏的木马”的现象跟我之前遇到过的类似。
但是我的电脑是F盘下有个文件夹(忘了叫什么名字了,只记得是有个~的符号的),里面没看到有文件,但是就是删不掉,当时有试过改文件名,但是提示“无法更改文件名”。
想请教下,如果遇到可能是超长目录中隐藏的木马而且无法更改文件名的情况该如何处理呢?

*********************************************************************************************************************************************************************************
可怕的超长目录中隐藏的木马

给我们下木马的人要想在我们的电脑中隐藏木马文件,会绞尽脑汁,利用Windows系统建立超长目录然后在其中隐藏木马就是手段之一。
我们可以做这样一个试验:打开“资源管理器”,在任意一个磁盘(假设是E盘)下建立一个目录,假设为good,然后进入此目录,在下面再建立一个子目录,假设为123,然后在123子目录下建立一个子目录test,现在test这个目录的绝对路径就是:E:goodS est。接下来把您要隐藏的目录和文件都拷贝test子目录下。然后点击“向上”按钮,来到123子目录,对着它点击鼠标右键,在弹出菜单中选择“重命名”,把这个123子目录改名为“1111……1111”,能写多长就写多长。接下来点击“向上”按钮,来到good目录,用同样的办法把它也重命名,假设改名为goodluck123,现在test子目录的绝对路径就是E:goodluck123I1……1111 est。这时,当您想访问该目录时,会出现一个提示:无法访问此文件夹,路径太长.
而且,这个目录在视窗界面下无法看到里面的内容,在DOS下同样如此,所以,该目录和里面的文件就被巧妙地隐藏起来了。谁能想到里面会有个test子目录呢,谁能想到test子目录下还有文件和文件夹呢?木马文件就这样巧妙地隐藏起来了。

为什么会这样呢?其实,这只是利用了Windows系统的一个小Bug,即Windows目录的绝对路径不能超过254个字符,如果您建立的目录的绝对路径超过254个字符的话,系统是看不到的。反过来讲,系统也不允许您直接建立一个绝对路径长度超过254个字符的目录,而我们前面所做的就是迂回地建立了一个目录,其绝对路径超过了254个字符,所以别人就无法访问里面包含的子目录和文件了,变相地把目录和文件隐藏了起来。更妙的是,整个目录根本无法直接删除,进行删除操作时会弹出一个窗口,提示我们“无法删除*.*:找不到文件。请确定指定的路径及文件名是否正确”,在DOS下或是使用工具软件Windows Commander等也同样无法删除该目录。

让我们再用其他软件来检视一下利用这种方法来隐藏木马的效果如何。大家知道,一般的隐藏文件或目录的方法,如特殊空格法、给文件夹设定一个空白图标法、修改注册表隐藏目录法等,都会在文件管理软件Windows Commander、看图软件ACDSee或压缩软件WinZIP或WinRAR中显露原形。而用本方法隐藏的目录不会被显示在上述软件中,它们只能看到受保护文件夹的上一层目录,而无法看到里面隐藏的内容。
以ACDSee为例,左上窗口有Windows树型目录结构,右边主窗口能显示文件夹中的文件,包括具有“隐藏”属性的文件。找到我们隐藏目录和文件的那个E盘,看,根本无法看到goodluck123文件夹里面的test目录,如图3所示。同理,使用杀毒软件也无法扫描该文件夹的内容,在资源管理器中也无法删除该目录。

为了更好地隐藏木马文件,入侵者还可能在此方法的基础上略微变通一下。比如,进入C: ecycled(回收站)目录下,用文中刚开始提到的方法建立超长目录,并把要隐藏的木马文件移动到其中,选定这些文件后按右键,在弹出菜单中选择“属性”,将其属性设置为“隐藏”,这样,在Windows中就看不到这些文件了,清空回收站也依然存在。而且,入侵者利用特殊文件夹同样可以取得这样的功效,比如C:windows onts等。
接下来修改一下注册表,让文件更彻底地隐藏起来。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支,修改DWORD值CheckedValue的键值为0(默认为1,如果没有该DWORD值,可以新建),如图4所示,关闭注册表编辑器,按F5键刷新桌面,这些文件就隐藏得更深了。我们进入隐藏文件的那个回收站后,将什么都看不到。
利用这种方法隐藏目录和文件非常巧妙,原因有三:一是别人想不到回收站中藏有秘密;二是修改注册表后这些隐藏起来的文件和目录更隐蔽了,在Windows下根本发现不了;三是即便发现了这些隐藏的目录和文件,也会由于绝对路径太长而无法进入该目录查看文件。这就让木马可以在我们的电脑中“安居乐业”了。

对方要在我们的电脑中建立如此特殊的目录,必定要进行远程操作,所以我们平时必须要及时给系统打补丁,把系统漏洞都堵上,再安装上网络防火墙,不随意浏览不了解的网页,不随意查看陌生的电子邮件,做到这些,对普通用户来说就会安全多了。

如果发现系统中有这样特殊的文件夹存在,只要给最外层的目录改名,比方说将goodluck123改名为g,然后就可以进入下一级目录,进而可以进入test子目录,进行相关的操作。当然,您也可以自己编写一个程序来读这个目录。
*********************************************************************************************************************************************************************************

TA的精华主题

TA的得分主题

发表于 2009-11-22 23:52 | 显示全部楼层
现在的病毒太厉害了,我的电脑就中毒了,前段时间上传的附件,很多E家会员说中毒了,赶紧找软件进行杀,可惜许多好的EXCEL事例就被这样给没了!哎……

TA的精华主题

TA的得分主题

发表于 2009-11-24 05:10 | 显示全部楼层
[广告] VBA代码宝 - VBA编程加强工具 · VBA代码随查随用  · 内置多项VBA编程加强工具       ★ 免费下载 ★      ★使用手册
如果您有金山毒霸的话,可借助金山远程协助,让金山的工程师操作您的电脑杀毒。我就是这样操作的,金山的服务很好!
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

手机版|关于我们|联系我们|ExcelHome

GMT+8, 2024-11-16 15:41 , Processed in 0.031118 second(s), 10 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 1999-2023 Wooffice Inc.

沪公网安备 31011702000001号 沪ICP备11019229号-2

本论坛言论纯属发表者个人意见,任何违反国家相关法律的言论,本站将协助国家相关部门追究发言者责任!     本站特聘法律顾问:李志群律师

快速回复 返回顶部 返回列表