这是真的,每个windows系统都藏着一个影子,专业名词叫shadowcopy,它基于VSS技术,像一些电脑有自动恢复功能,用的就是这个技术。这里我们不去管这些专业名词,我直接告诉你它怎么用,如何来隐藏文件。我写这篇文章原因,也是前段时间有个读者和我交流技术,老担心自己的论文被别的同事窃取,那我今天就来教大家如何用影子卷标技术来隐藏自己的重要文件,这也是黑客猥琐流手段之一。 我是在win10上测试,我在d盘建立了一个mimi的文件夹,里边放了一个mimi.txt的文本文件。下文我告诉大家如何来隐藏它。 一、 以管理员权限打开命令提示符,运行powershell命令 按下win+x键,选择管理员权限打开命令提示符,在提示符里输入powershell,再依次输入以下这三条命令:
然后记下图中出现的{EB626634-0745-467C-896D-8288F465BB9A}这串字符。 二、查看我们建立的影子卷标的目录 运行命令:gwmi win32_shadowcopy | select -property deviceobject,__RELPATH 很明显看到我们刚才建立的卷标对应的目录是\?GLOBALROOTDeviceHarddiskVolumeShadowCopy5。因为我的联想本也有恢复功能,所以在此之前有个3个影子。 三、如何用影子隐藏文件? 记得文章开头时我说的我在D盘建立了一个mimi文件夹吗?你现在可以把这个文件夹删掉了,你自己都找不到自己的文件了(测试的时候,希望先做好备份,再清空回收站)。但是在影子里我们还藏有一份呢。你只需要把 “\?GLOBALROOTDeviceHarddiskVolumeShadowCopy5” 里边的“?”换成点就可以使用了,像这样\.GLOBALROOTDeviceHarddiskVolumeShadowCopy5。 我们可以对这里的以前删除过的文件进行显示、复制、打开等操作。 像dir \.GLOBALROOTDeviceHarddiskVolumeShadowCopy5mimimimi.txt等操作。 四、如何删除影子? powershell命令里执行: gwmi win32_shadowcopy | where {$_.id -eq '{EB626634-0745-467C-896D-8288F465BB9A}'}|remove-wmiobject 命令里里的那一串数字就是你上文中记下的数字。但删除影子之前,不要忘记把你的秘密文件先复制出来呀。 这项技术,如果把黑客软件藏在里边,能否躲过杀软,我并没有测试。另外,我再提醒大家一下,以前我也写过一篇不同技术隐藏文件的文章《WIN10下用魔鬼模式隐藏文件,别人再也看不到了》,大家可以比较一下,哪个更好,我是偏向于此黑客猥琐流的方法的。 |
|