com1 lpt1 aux 목마 파일 삭제 방법 원리 분석

com1은 직접 만들 수 없습니다. 공격자는\\.\파일을 만들기 위해 빈틈이 있습니다.자원 관리자에서 직접 삭제할 수 없습니다. 삭제할 때 unc 경로를 사용하면 됩니다.읽기 전용 파일을 숨기려면del은 삭제할 수 없습니다
attrib\\.\E:\***\com1.asp -s -r -h del\\.\E:\***\com1.asp
Windows XP에서 새 파일, 폴더 또는 바로 가기를 만들 때 시스템은 CON, PRN, LPT, COM1, COM2, COM3, COM4, NUL, AUX를 보존합니다....직접 사용할 수 없지만 파일 이름이나 폴더 이름으로 사용하면 새로운 특별한 기능을 만들 수 있습니다.다음 명령을 사용하여 새 문서를 만들면 파일 유형 확장자가 무엇이든 상관없이 문서 안에 컨텐트가 있는지 없는지 여부가 제대로 열리지 않습니다. 특별한 방법으로 문서 찾아보기를 열고 문서를 조작하지 않는 한:copy con\\.\d:\디바이스 이름.txt(파일 확장자는.RTF,.XLS, DOC,.WAV,.HTML,.MP3,.RM...) MD\.\D:\CON 또는 기타 디바이스 이름은 열 수 있지만 삭제할 수 없는 폴더를 만들 수 있습니다.del\\.\D:\장치 이름.txt RD\\.\D:\CON 또는 기타 장치 이름
구멍이 하나 더 있습니다. 예.\폴더의 빈틈은 일찍이 내가 블로그에서 언급한 적이 있는데 자주 바이러스에 이용된다.다음은 공격자의 사용성에 있어 이 두 구멍의 차이점이다.01 <% 02 set fso=server.createobject("Scripting.FileSystemObject") 03     04 ' 05 'asp ， 06 'cmd ， 07 ' ， ， ， 08 con = "\\.\" & Server.Mappath("con") 09 'fso.createfolder con 10 fso.deletefolder con 11     12 ' .\ 13 'asp ， 14 'cmd ， 15 ' ， ， ， 16 con = "\\.\" & Server.Mappath("abv") & "..\" 17 'fso.createfolder con 18 fso.deletefolder con 19 %>
이 두 가지 방법으로 만든 파일 (뒷문) 은 브라우저에서 모두 정상적으로 접근할 수 있으며, 종종 마운트되어 사용된다.내 고양이 일곱은 그 해를 많이 입었다.만약에 CON이 삭제할 수 없고 PRN이 삭제할 수 없고 LPT가 삭제할 수 없고 COM1이 삭제할 수 없고 COM2가 삭제할 수 없고 COM4가 삭제할 수 없고 COM5가 삭제할 수 없고 COM6가 삭제할 수 없고 COM7이 삭제할 수 없고 COM8이 삭제할 수 없고 NUL이 삭제할 수 없고 AUX가 삭제할 수 없다. 이런 문제는 어떻게 해결했는지 알아요.
추가 하이퍼배치 처리:
DEL/F/A/Q\\?\%1  RD/S/Q\\?\%1 파일 - "모두 삭제.bat"로 저장하고 (이름은 무엇이든지 가능하지만 접미사는 반드시 ".bat"로 저장) 삭제할 파일이나 디렉터리를 이bat 파일의 아이콘에 끌어다 놓으면 삭제할 수 있습니다!