這期是“從零跟我學(xué)黑客”的第三輯，在前面的系列文章中，我給大家詳細(xì)介紹了shell的概念和木馬上線的知識，想必大家已經(jīng)對這些基礎(chǔ)有了一定的了解了吧?今天給大家講的是入侵過程的一些常用的隱藏技術(shù)，讓你做到踏雞無痕(來子注：畢偉倫同學(xué)接下來講的一些隱藏方法并不是什么新方法，但都非常好用，如果你是個黑客高手，那就翻過這一頁吧。因為下面的內(nèi)容你應(yīng)該都會，如果你剛剛接觸黑客知識，那可要好好看了，學(xué)會入侵過程中的常用隱藏技術(shù)，對你今后馳騁黑界可是大有幫助的)。

文件隱藏技術(shù)

你的馬兒傳上去，該放在哪里才安全?這是黑客發(fā)展史上經(jīng)久不衰的討論話題，一般來說，入侵者喜歡把木馬放置在文件眾多的目錄里，比如系統(tǒng)目錄C：\\Windowsksystem32，因為這些地方文件眾多。可謂“魚龍混雜”。可是現(xiàn)在這些地方也不一定是最保險的，下面我們從最簡單的看起，了解下入侵者的慣用方法。

簡單屬性隱藏

對于這個我想大家并不陌生，寫出來是為了照顧菜鳥朋友，我一帶而過。通過命令提示符中輸入如下的命令語法：attrib+s+h muma．exe。這就是給你的木馬加上系統(tǒng)屬性和隱藏屬性。該方法適合隱藏?zé)o毒工具，有時候也能騙過一些經(jīng)驗不足的管理員。

利用系統(tǒng)漏洞文件夾

這個我想大家也不會陌生，目前沸沸揚揚的U盤免疫工具也都是利用了這一點。創(chuàng)建一個名字最后面帶點的文件夾，直接刪除無法成功，木馬也可以利用這點在其中棲身。由于網(wǎng)友世界之前對此的介紹也很多。我也一帶而過了。創(chuàng)建這類文件夾的方法是在CMD中運行：md sys\\，這樣就能創(chuàng)建一個名字為sys的漏洞文件夾了，不能打開也不能刪除。

要向其中放入你的木馬也很簡單。一種可以是直接“開始”→“運行”→輸入“D：\\biwellunksys\\”。然后回車就能打開這個文件夾了，然后復(fù)制你的木馬進(jìn)去即可。還有二一種是在命令行下，輸入如下命令“copy down，exe biwellun\\sys\\”，這個down．exe是我本來放在D盤根目錄下的一個木馬。

利用專有文件夾隱藏

使用系統(tǒng)已有專有文件夾

在Windows系統(tǒng)中，可以雙擊“計劃任務(wù)”、 “控制面板”、 “回收站”等圖標(biāo)來實現(xiàn)一些系統(tǒng)的管理操作。表面上看上去這些不是文件夾，其實這些“專用文件夾”是可以當(dāng)普通文件夾用的，拷貝、粘貼、刪除都可以。下面看我的例子：

我這里有一個運行在命令行下的黑客工具pskill．exe，能殺本機(jī)或者遠(yuǎn)程機(jī)器的進(jìn)程?，F(xiàn)在它的位置在c盤的根目錄下，我將它在命令行下復(fù)制到C：\\windows\asks目錄下。

現(xiàn)在我們用cd命令進(jìn)入到C：\\windows\asks：這個目錄下。查看下所有文件。發(fā)現(xiàn)文件確實是復(fù)制進(jìn)去了。接著我們運行看看，OK，在這個文件夾下不影響運行。但是你在圖形界面下打開C：\\windows\asks看看，能看到這個pskill．exe文件嗎?不能。這樣就輕松實現(xiàn)了文件的隱藏。

自建專有文件夾

入侵者也可以自己建立這樣的文件夾，是文件的隱藏隨心所欲。下面做個試驗，創(chuàng)建一個文件夾，名字為“打印機(jī)(1227A280－3AEA－1069－A2DE－08002830309D)”，現(xiàn)在你會發(fā)現(xiàn)文件夾的圖標(biāo)變成一個打印機(jī)的樣子了。我們也就創(chuàng)立了自己的專有文件夾了，和上面①里講的是一種類型，不過你要把自己創(chuàng)建的專有文件夾放在那些不被懷疑的地方才好。自己創(chuàng)建的專有文件夾的使用方法和①里講的也一樣，在復(fù)制進(jìn)去的時候不需要在目的路徑里面加入專有后綴名。復(fù)制成功后在視圖窗口中打開將看不到任何文件，但是在命令行下可以直接訪問。

利用我發(fā)現(xiàn)的一個WindOws漏洞

這個Windows的Bug是我有一次偶然發(fā)現(xiàn)的。那就是命令行下的一個可執(zhí)行后綴解析漏洞。漏洞是這樣利用的，你將一個可執(zhí)行文件后綴exe改為txt再雙擊打開試試看，是不是調(diào)用記事本打開的，而里面除了亂碼什么都沒有。其實我們可以讓這個可執(zhí)行文件保持后綴名為txt的情況下正常運行。怎么辦呢?將down．exe復(fù)制到一個目錄下(我這里是C盤)下然后改名為down．txt，打開CMD，進(jìn)入到C盤根目錄，直接敲入“down．txt”后回車仍然照常運行。

如此一來，把你的“txt文件”放置好，這應(yīng)該是最好不過的隱藏方式了。要執(zhí)行的時候可以直接執(zhí)行這個虛假的“txt”。何樂而不為呢?如果有朋友沒有能理解的話，可以看我把這個漏洞的利用方法上傳在我們聯(lián)盟的視頻：

操作視頻下載地址：http：//WWW．hx95．com/Down/ShowSoftDown，asp?UrllD=1SoftlD=842

利用ADS交換數(shù)據(jù)流

ADS交換數(shù)據(jù)流(alternate data streams)，有時候也被人家成為NTFS數(shù)據(jù)流，是：NTFS磁盤格式下的特有產(chǎn)品，不過由于現(xiàn)在的用戶磁盤格式基本上都是NTFS的，所以這個方法使用也并沒有什么限制。

第一步：在C盤下建立一個文件夾，名字是：test，我先將一個system，exe的可執(zhí)行文件放進(jìn)去(作為流宿主文件，這個假設(shè)是正常文件)，在放入一個假設(shè)的木馬文件mumaexe。

第二步：打開CMD“命令提示符”，先用dir命令可以查看到目錄里確實是有muma，exe這個文件的?，F(xiàn)在輸入如下命令后回車：type muma．exe>system，exe：bwl．exe，如圖9所示。命令執(zhí)行成功，因為我的c盤是NTFS格式的，所以支持ADS交換數(shù)據(jù)流。

第三步：我們將test，文件夾中的muma．exe；刪除，或是移出這個文件夾，再用din命令查看會發(fā)現(xiàn)test目錄里面只有systemexe那個文件了。

第四步：我們還要執(zhí)行木馬程序怎么辦呢?執(zhí)行方法輸八命令：start C：\est\\system．exe：bwl，exe，在start后面必須加上全路徑，這一點要切忌，而且，stErt，也不能丟。

以上這些就是文件隱藏技術(shù)的詳細(xì)介紹了，《網(wǎng)友世界》的朋友們，我們下期再見l有什么對我文章的疑問或是更好的建議歡迎來http：//hi．baidu．com/biweiLun留言，大家一起交流探討。