Windows中无法对特殊文件名木马进行删除操作

        我们都知道,木马病毒的特点是隐蔽,一旦暴露了,那么用杀毒软件查杀一下就OK了,即使是某些比较顽固的木马病毒,最多也只要进入安全模式进行查杀 即可。但是有一类木马病毒却不同,它们不仅具有木马病毒的隐藏特点,同时还极难清除。为什么这些特殊文件名木马病毒难以清除干净呢?

  为什么Windows中无法对特殊文件名木马进行删除操作呢?

  这些木马病毒利用了Windows的一些“漏洞”,建立了一个特殊文件名的程序或文件夹,而在Windows中,我们是无法对其进行删除操作的。那么怎样才能将这些特殊文件名木马病毒清除干净呢?

  当然,有一些特殊的方法可以投机取巧,建立以这些设备名命名的文件夹。比如我们在“命令提示符”中执行“md C:aux”命令,就可以在C盘建了一个名叫aux的文件夹。这个aux文件夹虽然可以访问,也可以建立子文件夹,但却无法删除,因为Windows不 允许以这种方式删除设备。

  可见,木马病毒是利用了Windows的漏洞欺骗了系统,创建出特殊文件名文件。而杀毒软件作为Windows上的应用软件,也是遵循Windows的文件/文件夹命名规则的,这样就导致木马病毒可以长久驻留系统,即使杀毒软件发现了也无济于事。

  如何将木马制作成特殊文件?

  在了解了建立特殊文件夹的原理后,这就非常简单了。在“命令提示符”中输入命令:copy muma.exe .D:aux.exe并回车,这样就将muma.exe拷贝为了D盘的aux.exe文件,一个杀毒软件无法删除的特殊木马病毒就诞生了。

  事实上,用“系统保留字构建特殊文件夹防查杀”这招经常被黑客用于入侵网站服务器上。通常情况下,黑客入侵网站后,会在网站文件夹中通过“命令 提示符”创建这样一个特殊文件名的webshell,例如“copy webshell.asp .D:wwwrootaux.asp“,并且通过命令为其加上“系统”和“隐藏”权限(在Windows中无法设置其属性)。这样的Webshell 在服务器中是十分危险的,是网站站长的头号公敌。

  如何删除特殊文件名木马?

  知道了这种木马病的原理,我们清除起来就比较简单了,这里介绍两种方法:

  1、找到木马病毒所处位置后,在“命令提示符”中输入如下命令:“del .C: empnul.exe”,其中“C: empnul.exe”为木马文件所在路径,回车后即可将木马文件删除。

  2、新建一个记事本文档,输入:

  del /f /a /q ?%1

  rd /s /q ?%1

  保存后把文件的后缀名改为.bat,然后把不能删除的文件或者文件夹拖到bat文件上就可以了。

时间: 2024-11-16 17:46:36

Windows中无法对特殊文件名木马进行删除操作的相关文章

Sql中存储过程的定义、修改和删除操作

1.存储过程的分类 系统存储过程 本地存储过程(用户自定义) 临时存储过程(局部[#].全局[##]临时存储过程) 2.创建存储过程 --选出价格区间的商品信息 create procedure sp_goods_price @minprice float ,@maxprice float as select * from goods where price>=@minprice and price <=@maxprice go 执行存储过程: execute sp_goods_price 2

Word2007中分节符的插入与删除操作

分节符的插入操作 第1步,打开Word2007文档窗口,切换到"页面布局"功能区.然后在"页面设置"分组中单击"分隔符"按钮. 单击"分隔符"按钮 第2步,在打开的分隔符列表中,"分节符"区域列出4中不同类型的分节符: (1)下一页:插入分节符并在下一页上开始新节; (2)连续:插入分节符并在同一页上开始新节; (3)偶数页:插入分节符并在下一偶数页上开始新节; (4)奇数页:插入分节符并在下一奇数页上开始

ASP.NET2.0中对GridView删除操作时“未能找到带参数的非泛型方法”的解决方案

asp.net|解决 在ASP.Net中对ObjectDataSource自动配置数据源的[删除]操作的时候,会生成两个字段一个是 OldValuesParameterFormatString="original_{0}" 另外一个是 <DeleteParameters>   <asp:Parameter Name="original_XML_ID" Type="Int32" /></DeleteParameters

如何从进程中判断出病毒和木马

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文. 病毒进程隐藏三法 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 1.以假乱真 系统中的正常进程

巧妙从进程中判断出病毒和木马的方法_病毒查杀

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文.  病毒进程隐藏三法  当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:  1.以假乱真  系统中的

Windows中安装Apache2和PHP4权威指南

apache|window Apache 2和PHP是创建交互式网站的流行方案,而且成本很低.在Windows中安装Apache 2是一件轻而易举的事情,但要使PHP 4与Apache 2配合无间地运行,就需要一定的技巧. 在PHP 4.3手册的Windows安装小节,没有解释如何让PHP与Apache 2配合使用,而有关Apache 2安装的小节缺失了你需要的大量信息.在网上公布的其他安装指南中,也包含了不少错误,使一些安装人员只好不断试验和犯错.例如,有些人甚至将PHP的DLL替换成其他PH

在Windows中安装Apache2和PHP4的权威指南

apache|window Apache 2和PHP是创建交互式网站的流行方案,而且成本很低.在Windows中安装Apache 2是一件轻而易举的事情,但要使PHP 4与Apache 2配合无间地运行,就需要一定的技巧. 在PHP 4.3手册的Windows安装小节,没有解释如何让PHP与Apache 2配合使用,而有关Apache 2安装的小节缺失了你需要的大量信息.在网上公布的其他安装指南中,也包含了不少错误,使一些安装人员只好不断试验和犯错.例如,有些人甚至将PHP的DLL替换成其他PH

Windows中回收站(Recycle Bin)的存取方法

本文配套源码 问题: 我想用CFile::Remove(或其它可行的方法)删除一个文件,但是只是想将它送到Recycle Bin里面,而不是永久性地删除它,这样我的用户就可以在必要的时候能恢复这个文件.我不通过编程能不能实现?如果必须编程,那如何在程序中存取Recycle Bin? 解答: 这个问题的答案是:外壳API函数--SHFileOperation,它定义在shellapi.文件中.为了使用 SHFileOperation,必须填写专用结构--SHFILEOPSTRUCT--告诉Wind

怎么从进程中找出病毒和木马

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文. 一.病毒进程隐藏三法 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 1.1 以假乱真 系统中的