我們都知道,木馬病毒的特點是隱蔽,一旦暴露了,那麼用防毒軟體查殺一下就OK了,即使是某些比較頑固的木馬病毒,最多也只要進入安全模式進行查殺即可。但是有一類木馬病毒卻不同,它們不僅具有木馬病毒的隱藏特點,同時還極難清除。為什麼會這樣呢,難道它們用了某些高深的技術?非也,這些木馬病毒只是利用了Windows的一些“漏洞”,建立了一個特殊檔名的程式或資料夾,而在Windows中,我們是無法對其進行刪除操作的。那麼怎樣才能將這些特殊檔名木馬病毒清除乾淨呢?請看本文。
方法/步驟
當然,有一些特殊的方法可以投機取巧,建立以這些裝置名命名的資料夾。比如我們在“命令提示符”中執行“md C:aux\”命令,就可以在C盤建了一個名叫aux的資料夾。這個aux資料夾雖然可以訪問,也可以建立子資料夾,但卻無法刪除,因為Windows不允許以這種方式刪除裝置。
可見,木馬病毒是利用了Windows的漏洞欺騙了系統,創建出特殊檔名檔案。而防毒軟體作為Windows上的應用軟體,也是遵循Windows的檔案/資料夾命名規則的,這樣就導致木馬病毒可以長久駐留系統,即使防毒軟體發現了也無濟於事。
那麼黑客是如何將木馬製作成特殊檔案的呢?在瞭解了建立特殊資料夾的原理後,這就非常簡單了。在“命令提示符”中輸入命令:copy muma.exe \.D:\aux.exe並回車,這樣就將muma.exe拷貝為了D盤的aux.exe檔案,一個防毒軟體無法刪除的特殊木馬病毒就誕生了。
事實上,用“系統保留字構建特殊資料夾防查殺”這招經常被黑客用於入侵網站伺服器上。通常情況下,黑客入侵網站後,會在網站資料夾中通過“命令提示符”建立這樣一個特殊檔名的webshell,例如“copy webshell.asp \.D:\wwwrootaux.asp“,並且通過命令為其加上“系統”和“隱藏”許可權(在Windows中無法設定其屬性)。這樣的Webshell在伺服器中是十分危險的,是網站站長的頭號公敵。
知道了這種木馬病的原理,我們清除起來就比較簡單了,這裡介紹兩種方法:
1、找到木馬病毒所處位置後,在“命令提示符”中輸入如下命令:“del \.C: emp\nul.exe”,其中“C: emp\nul.exe”為木馬檔案所在路徑,回車後即可將木馬檔案刪除。
2、新建一個記事本文件,輸入:
del /f /a /q \?\%1
rd /s /q \?\%1
儲存後把檔案的字尾名改為.bat,然後把不能刪除的檔案或者資料夾拖到bat檔案上就可以了。