|
 | 作者: group [group]
 论坛用户 |
登录 |
| 发信人: get (加犀), 信区: Hacker 标 题: 关于隐藏文件! ZZ 发信站: 华南网木棉站 (Wed Apr 10 12:40:11 2002), 转信 对于一般的黑客来说,在目标系统上下放一个后门程序供以后使用,会节省很多的 时间。不过它们可能成为警告谨慎的管理存在入侵者的“名片”。因此入侵者必须采取相 应措施,隐藏下次攻击时需要的后门文件。。。 最简单的方法就是把文件拷贝到一个目录中,再使用陈旧的DOS工具,attrib来隐藏, 提示如:attrib +h[directory]....这样一来,从命令行工具中确实达到了隐藏文件和目 录的效果。但是,在显示所有文件(show all files)属性的资源管理器(windows wxplorer)中却没有达到隐藏效果! NTFS文件分流 如果目标机使用的windows NT文件系统(NTFS),那么入侵者就有另外一个隐藏文件的 技巧。NTFS提供在一个文件内分化多信息“流(stream)”的支持。Microsoft夸称NTFS 的分流(streaming)特性的“一种不许要中心构造文件系统就能给一个文件添加额外属 性或信息get (加犀)例如NT的macintosh文件兼容特性就是使用分流机智使能的,也就说 下面还有喔 (93%) │ 结束 ← <q> │ ↑/↓/PgUp/PgDn 移动 │ ? 辅助说明 │ 例如把netcat.exe分流在从winnt\system32\os2\目录中找到某个普通文件的后面,以 便在以后针对其他远程系统的入侵时用到它。选择这个“前端”文件(即oso001.009), 因为它相对较模糊一些,不过任何文件都可以用。就看个人想用那个了。。。 分流文件时需要用到NTRK中的POSIX工具CP。使用方法很简单,在目的文件名前使用冒 号指定流就行。。。 cp<file>oso001.001:nc.exe例如:cp nc.exe oso001.009:nc.exe 该命令把nc.exe隐藏在oso001.009的"nc.exe"流中。要“反分流(unstreaming)”出 netcat,使用cp oso001.009:nc.exe nc.exe命令。。。 这个文件的修改日期有变化,但大小没有变,有些版本的cp可能不改动文件修改时间。 所以隐藏了分流后的文件,要检测出来比较难。。。 ---------------------------------------------------------------------- 相应对策: 这类文件删除比较麻烦,要把前端文件拷贝到一个FAT分区,再拷回到NTFS。分流后的 文件隐藏与前端文件背后期间仍能执行,由于cmd.exe的局限,分流文件不能直接运行, 需执行oso001.001:nc.exe(根据你选择的文件)相反,使用start命令执行这样的文件: start oso001.009:nc.exe..... ---------------------------------------------------------------------- 好了,感兴趣的朋友可以研究一下!说不定你的服务器也有哦。。。。 |
| 地主 发表时间: 04/11 15:11 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 关于隐藏文件!