我們都知道,木馬病毒的特點是隱蔽,一旦暴露了,那麼用殺毒軟體查殺一下就OK了,即使是某些比較頑固的木馬病毒,最多也只要進入安全模式進行查殺 即可。但是有一類木馬病毒卻不同,它們不僅具有木馬病毒的隱藏特點,同時還極難清除。為什麼這些特殊檔案名稱木馬病毒難以清除乾淨呢?
為什麼Windows中無法對特殊檔案名稱木馬進行刪除操作呢?
這些木馬病毒利用了Windows的一些“漏洞”,建立了一個特殊檔案名稱的程式或檔案夾,而在Windows中,我們是無法對其進行刪除操作的。那麼怎樣才能將這些特殊檔案名稱木馬病毒清除乾淨呢?
當然,有一些特殊的方法可以投機取巧,建立以這些裝置名稱命名的檔案夾。比如我們在“命令提示字元”中執行“md C:aux”命令,就可以在C盤建了一個名叫aux的檔案夾。這個aux檔案夾雖然可以訪問,也可以建立子檔案夾,但卻無法刪除,因為Windows不 允許以這種方式刪除裝置。
可見,木馬病毒是利用了Windows的漏洞欺騙了系統,建立出特殊檔案名稱檔案。而殺毒軟體作為Windows上的應用軟體,也是遵循Windows的檔案/檔案夾命名規則的,這樣就導致木馬病毒可以長久駐留系統,即使殺毒軟體發現了也無濟於事。
如何將木馬製作成特殊檔案?
在瞭解了建立特殊檔案夾的原理後,這就非常簡單了。在“命令提示字元”中輸入命令:copy muma.exe .D:aux.exe並斷行符號,這樣就將muma.exe拷貝為了D盤的aux.exe檔案,一個殺毒軟體無法刪除的特殊木馬病毒就誕生了。
事實上,用“系統保留字構建特殊檔案夾防查殺”這招經常被駭客用於入侵網站伺服器上。通常情況下,駭客入侵網站後,會在網站檔案夾中通過“命令 提示符”建立這樣一個特殊檔案名稱的webshell,例如“copy webshell.asp .D:wwwrootaux.asp“,並且通過命令為其加上“系統”和“隱藏”許可權(在Windows中無法設定其屬性)。這樣的Webshell 在伺服器中是十分危險的,是網站站長的頭號公敵。
如何刪除特殊檔案名稱木馬?
知道了這種木馬病的原理,我們清除起來就比較簡單了,這裡介紹兩種方法:
1、找到木馬病毒所處位置後,在“命令提示字元”中輸入如下命令:“del .C: empnul.exe”,其中“C: empnul.exe”為木馬檔案所在路徑,斷行符號後即可將木馬檔案刪除。
2、建立一個記事本文檔,輸入:
del /f /a /q ?%1
rd /s /q ?%1
儲存後把檔案的尾碼名改為.bat,然後把不能刪除的檔案或者檔案夾拖到bat檔案上就可以了。