|
初级篇 主要讲述简单的隐藏文件夹手段,实际上都是针对Explorer.exe即资源管理器而生的。 1. 系统属性+隐藏属性 一个文件(夹)除了只读,隐藏,存档属性,实际上还有这些属性 R 只读文件属性。 A 存档文件属性。 S 系统文件属性。 H 隐藏文件属性。 I 无内容索引文件属性。 X 无清理文件属性。 V 完整性属性。 特别注意的是系统文件属性,具备这个属性,该文件(夹)即被认为是系统文件 很多人都知道查看隐藏文件可以勾选”显示隐藏的文件、文件夹和驱动器”,但是为什么系统盘依然有些文件看不到呢?答案正是因为他们兼有系统属性和隐藏属性。 更进一步,想要查看包含系统属性的隐藏文件需要去掉”隐藏受保护的操作系统文件” 
原理确实是这样,但为什么有时候还是看不到呢? 注册表有如下键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL CheckedValue键值对应”显示隐藏的文件、文件夹和驱动器”,改为0即不检查,即不显示隐藏文件(夹)。只要修改为0后,文件夹选项无论如何设置都不会显示隐藏文件。 如何隐藏? 最简单的是使用命令
比较保险的是同时修改上面的键值。 如何恢复?
如何打开? 只是隐藏实际还在,所以只要在地址栏输入完整地址即可进入,但这种方法会留下痕迹 建议右键新建一个快捷方式,更加安全 题外话:流行一时的U盘文件夹病毒,就是这样的原理隐藏了所有文件夹,部分杀毒软件只清理了病毒本身,没有帮忙去掉系统隐藏属性和修改注册表。但只要使用命令
即可解决。 2.类标识符 这个真是烂大街,自己看百科吧。这个技巧在论坛有人发过了,上帝模式也在里面。 正如前面所说这两种都是针对Explorer.exe而生的隐藏手段,系统和Explorer.exe约好我这样设置,你就不显示。但是对第三方带资源浏览的软件(即使是Winrar),都是没用的,这些软件根本不理会这些约定,所有文件都是可见的,所有类标识符都不会隐藏。 这类隐藏保护强度并不高,但仍然广泛使用在文件夹加密软件的某一层作为其中一种辅助手段。 =============================================================================== 中级篇 1.畸形文件夹 以下是值得一提的: a. 带点文件夹 论坛也有人发过,不过貌似没有人提过FAT32更加安全的“Dot 点名”,这种文件夹在资源管理器和大部分第三方软件Winrar等都看不到(命令提示符可以),可惜只能用在FAT32上。 b. 保留设备名引用nul等等 这类文件夹也很厉害,虽然资源管理器可以查看,Winrar却不能,并且删除困难(删除提示参数错误),配合上面的方法可以达到很好的效果,加大查看的难度。 这里有段故事:U盘文件夹病毒是通过建立Autorun.inf文件来达到自动运行的(你光盘上也是一样),于是就有这样的方法,建立一个名Autorun.inf的文件夹,于是病毒就不能写入Autorun.inf文件了(同一个文件夹,不允许出现同名文件或文件夹),后来有些病毒升级了,先判断是否有这个文件夹有就删除,方法失效了。于是又有人在Autorun.inf文件夹,再建立一个保留设备名nul的文件夹名,一大片病毒失效。不过,道高一尺魔高一丈,还是有少部分病毒能突破这个保护。 2.NTFS权限 这样的方法通过删除文件夹其他用户的权限导致无法访问。 上面提到的文件夹病毒也有使用这种方法,杀毒软件也有使用。 文件夹加密软件使用到的技术基本上就是以上两篇的技术混合使用。这类软件并不安全,比如文件夹嗅探器是可以找到的。 =============================================================================== 高级篇 1.使用驱动 这种驱动叫做文件系统过滤驱动,从ring0层保护文件(夹),这样的保护即使知道路径也无法打开。驱动正常加载后,处于ring3的任何工具都不能找到。 目前只发现文件夹加密大师有使用。 2.NTFS文件流 目前没有发现有加密软件使用,除了表明支持NTFS文件流的能查找到,其他工具都不能识别,可惜只能在NTFS能用。 |
|
|
