com1 lpt1 aux 木马文件删除方法原理分析

 

com1是不能直接创建的，攻击者可以利用\\.\漏洞来创建文件。
在资源管理器中不能直接删除，删除的时候用unc路径即可。
如果是隐藏只读文件，del是不能删除的

attrib \\.\E:\***\com1.asp -s -r -h
del \\.\E:\***\com1.asp

在Windows XP新建文件、文件夹或快捷方式时，系统的保留特殊设备名：CON，PRN，LPT，COM1，COM2，COM3，COM4，NUL、AUX，……不允许直接使用，但以特殊方法使用它们作为文件名或文件夹名后又能产生新的特别功能。如用下面命令建立新文档，不管文件类型扩展名是什么，文档中有无内容都不能正常打开，除非使用特殊方式打开浏览文档和对文档进行操作：
copy con \\.\d:\设备名.txt (文件扩展名可以为.RTF,.XLS,DOC,.WAV,.HTML,.MP3,.RM……)
MD \\.\D:\CON 或其它设备名，可以建立起能打开但不能删除的文件夹。
del \\.\D:\设备名.txt
RD \\.\D:\CON 或其它设备名

还有一个漏洞，是.\文件夹漏洞，很早以前我在博客中提到过，经常被病毒利用。下面就攻击者的使用性来说这两个漏洞的区别。

01 <%
02 set fso=server.createobject("Scripting.FileSystemObject")
03
04 '几个特殊文件的建立和删除方法
05 'asp可以创建，可以删除
06 'cmd可以创建，可以删除
07 '直接 创建 不可创建，不可删除，可浏览目录，不可查看文件
08 con = "\\.\" & Server.Mappath("con")
09 'fso.createfolder con
10 fso.deletefolder con
11
12 ' .\ 漏洞
13 'asp可以创建，不可以删除
14 'cmd可以创建，可以删除
15 '直接 创建 不可创建，不可删除，不可浏览目录，不可查看文件
16 con = "\\.\" & Server.Mappath("abv") & "..\"
17 'fso.createfolder con
18 fso.deletefolder con
19 %>

这两种方法创建的文件(后门)，在浏览器中均能正常访问，常常被挂马这利用。我猫七就深受其害。
如果你在遇到CON不能删除，PRN不能删除，LPT不能删除，COM1不能删除，COM2不能删除，COM3不能删除，COM4不能删除，COM5不能删除，COM6不能删除，COM7不能除，COM8不能删除，NUL不能删除、AUX不能删除，……这种问题，知道怎么解决了把

另附一个超级批处理：

DEL /F /A /Q \\?\%1 
RD /S /Q \\?\%1 
文件-另存为"统统删除.bat"  (名字叫什么都可以,不过后缀一定要".bat")
然后,把要删除的文件或者目录拖放到这个bat文件的图标上就可以删除了!