红队笔记之文件隐藏技巧在Windows权限维持中的应用

利用ATTRIB修改文件属性隐藏

使⽤attrib +S +A +H +R命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属，这样外部是无法看到文件的， 除非在使用命令行的方式进行查看

# 为文件添加属性
attrib +S +A +H +R test.txt
# 为文件清除属性
attrib -S -A -H -R test.txt

ATTRIB的详细命令如下

ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] [+O | -O] [+I | -I] [+X | -X] [+P | -P] [+U | -U]
       [drive:][path][filename] [/S [/D]] [/L]

  +   设置属性。
  -   清除属性。
  R   只读文件属性。
  A   存档文件属性。
  S   系统文件属性。
  H   隐藏文件属性。
  O   脱机属性。
  I   无内容索引文件属性。
  X   无清理文件属性。
  V   完整性属性。
  P   固定属性。
  U   非固定属性。
  
  [drive:][path][filename]
      指定属性要处理的文件。
  /S  处理当前文件夹及其所有子文件夹中
      的匹配文件。
  /D  也处理文件夹。
  /L  处理符号链接和
      符号链接目标的属性

使用CLSID伪装文件夹

CLSID是Windows的文件标识符，也称类标识符，位于注册[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下，通常由32个十六进制数构成，其一般格式是“{八位数-四位数-四位数-四位数-十二位数}”。我们操作电脑时，会对系统程序名称发出指令，Windows则通过对该程序的文件标识符识别而做出响应。因此，我们可以伪造文件标识符让操作系统做出错误响应。

1、将要伪装的文件夹重命名为

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

2、此时文件夹会变为“我的电脑”图标，且点击后可以打开我的电脑

3、如果想打开这个⽂件夹：我们先⽤WinRAR找到这个⽂件夹，然后重命名⽂件夹把后缀的“.{20D04FE0-3AEA-1069- A2D8-08002B30309D}”删除

常用的文件标识符如下；

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d}
⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形目录

利用Windows的Gui无法打开带有特殊字符的文件，我们可以使用命令行的方式创建带有特殊字符的文件，增加文件被清除难度

1、在命令行创建文件夹，鼠标双击无法正常打开文件夹

md 伪装者...\ 

2、将我们要保护的文件存储到伪装者中

 cp payload.c 伪装者...\payload.c

3、储存在畸形文件夹中的文件无法直接查看，一般需要配合web服务器触发（如放到Tomcat下用url访问），或使用加载器加载，以下为使用go程序进行加载。

func main() {
	file := "C:\\Users\\Administrator\\Desktop\\test\\伪装者...\\payload.c"
	s,err := ioutil.ReadFile(file)
	if err!=nil{
		fmt.Println("文件打开失败")
	}
	fmt.Println(s)
}

4、删除伪装内容

# /s 删除指定目录和所有子目录及其包含的所有文件
# /q 安静模式。删除目录时，不会提示确认信息
rd /s /q 伪装者...\

利用系统保留文件名创建无法删除文件

利用系统的保留的文件名可以创建无法从图形界面删除文件，只能通过命令行进行删除，以下问系统保留文件名

1、CON
2、COM{0-9}
3、PRN
4、AUX
5、NUL
6、LPT{0-9}

1、使用md或copy命令生成带有保留文件名的文件如：

cp payload.c aux.c

利用Easy File Locker完成驱动机隐藏

删除方法

1、查询服务状态： sc qc xlkfs

2、停⽌服务： net stop xlkfs //以管理员身份运行

3、删除服务： sc delete xlkfs //以管理员身份运行

为了您和您家人的幸福，请不要利用文中技术在用户未授权情况下开展渗透测试！！！

《中华人民共和国刑法》

第二百八十五条
违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚