Windows应急响应-文件隐藏

公众号原文连接：

Windows应急响应-文件隐藏

在黑帽SEO中，通常会遇到利用easy file locker来实现驱动隐蔽的方式。

下载easy file locker

https://download.cnet.com/Easy-File-Locker-64-bit/3000-2144_4-75712422.html

下载得到

安装完成

添加想要隐藏的文件

"Visible"不要打钩，然后ok

这个时候，电脑管家突然弹出"xlkfs.sys"这个文件。。。 看来是这个软件生成的，我们暂时选择允许这个文件。

设置ok，如下图所示

可以看到，目录下的1.txt文件不存在了

勾选显示隐藏文件也无法发现文件

dir命令也无法查看到文件

三、dir命令详细参数介绍：
1./A： 显示具有指定属性的文件（a-attribute）。。
其具体属性有：
（1）D 目录（d-directory）。命令为dir/ad。
例如： 显示C盘windows文件夹下的目录文件：dir c:\windows/ad。
（2）R 只读文件（r-read）。命令为dir/ar。
例如：显示C盘windows文件夹下的只读文件:dir c:\windows/ar。
（3）H 隐藏文件（h-hide）。命令为dir/ah。
例如：显示C盘windows文件夹下的隐藏文件：dir c:\windows/ah。

这个软件隐藏文件是会启动一个名为xlkfs的服务【就是刚刚电脑管家弹出来的】，使用常规方式查不出来

wmic service where name='xlkfs' list

任务管理器-->进程也查看不出来

任务管理器-->服务也查看不出来

可以使用sc进行查询

SC命令，是用来与服务控制管理器和服务进行通信的命令行程序。

sc query xlkfs //query-----------查询服务的状态

sc qc xlkfs //qc--------------查询服务的配置信息

在注册表中也能看到下可以看到xlkfs文件

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\

stop------------向服务发送 STOP 请求

然后，可以看到1.txt被恢复

查看系统中的xlkfs文件

注意：工具对webshell无效

配置一句话木马文件

工具隐藏这个文件

显示文件没找到

可以隐藏.html文件

查看源代码

3.临时的不成熟的想法

谷歌浏览器的存放路径

bat脚本

隐藏整个chrome安装目录【隐藏文件夹，而不仅仅是可执行文件】

双击bat脚本，可正常打开chrome浏览器。

隐藏LOL.exe，妈妈再也不用担心我的学习！！！！

提示：我这边在windows7虚拟机测试，不知道为啥有一次把windows7整蓝屏了。。。。