荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: ethanwy (朽木儿), 信区: Security
标 题: 关于隐藏文件!
发信站: 荔园晨风BBS站 (Tue Apr 9 08:17:50 2002), 转信
对于一般的黑客来说,在目标系统上下放一个后门程序供以后使用,会节省很多
的时间。不过它们可能成为警告谨慎的管理存在入侵者的“名片”。因此入侵者必须采
取相应措施,隐藏下次攻击时需要的后门文件。。。
最简单的方法就是把文件拷贝到一个目录中,再使用陈旧的DOS工具,attrib来隐藏,
提示如:attrib +h[directory]....这样一来,从命令行工具中确实达到了隐藏文件和
目录的效果。但是,在显示所有文件(show all files)属性的资源管理器(windows
wxplorer)中却没有达到隐藏效果!
NTFS文件分流
如果目标机使用的windows NT文件系统(NTFS),那么入侵者就有另外一个隐藏文件
的技巧。NTFS提供在一个文件内分化多信息“流(stream)”的支持。Microsoft夸称N
TFS的分流(streaming)特性的“一种不许要中心构造文件系统就能给一个文件添加额
外属性或信息的机制”,例如NT的macintosh文件兼容特性就是使用分流机智使能的,也
就说,我们可以利用这种机智来隐藏自己的后门。。。。
例如把netcat.exe分流在从winnt\system32\os2\目录中找到某个普通文件的后面,以
便在以后针对其他远程系统的入侵时用到它。选择这个“前端”文件(即oso001.009)
,因为它相对较模糊一些,不过任何文件都可以用。就看个人想用那个了。。。
分流文件时需要用到NTRK中的POSIX工具CP。使用方法很简单,在目的文件名前使用冒
号指定流就行。。。
cp<file>oso001.001:nc.exe例如:cp nc.exe oso001.009:nc.exe
该命令把nc.exe隐藏在oso001.009的"nc.exe"流中。要“反分流(unstreaming)”出
netcat,使用cp oso001.009:nc.exe nc.exe命令。。。
这个文件的修改日期有变化,但大小没有变,有些版本的cp可能不改动文件修改时间
。所以隐藏了分流后的文件,要检测出来比较难。。。
----------------------------------------------------------------------
相应对策:
这类文件删除比较麻烦,要把前端文件拷贝到一个FAT分区,再拷回到NTFS。分流后的
文件隐藏与前端文件背后期间仍能执行,由于cmd.exe的局限,分流文件不能直接运行,
需执行oso001.001:nc.exe(根据你选择的文件)相反,使用start命令执行这样的文件
:start oso001.009:nc.exe.....
----------------------------------------------------------------------
好了,感兴趣的朋友可以研究一下!说不定你的服务器也有哦。。。。
--
\_\/ .-==/~\
___/_,__,_ __ ____ ____ __)/ /{~}}
---,---,------------------,\'-' {{~}
'-==\}/
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.142.51.76]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店