遠程電子數據取證-解決驅動級文件隱藏掛馬

背景故事:

image


首先我們查看網站根目錄

image

發現沒有seo文件,可能做了隱藏,第一反應是顯示隱藏文件夾

image

結果發現還是沒有出現想要的文件,文件搜索也只是看到seo快捷鍵

image

因為這里用了驅動級文件隱藏

驅動級隱藏文件會在服務項增加一個xlkfs的服務

特征為系統目錄下存在如下文件: C:\WINDOWS\xlkfs.dat C:\WINDOWS\xlkfs.dll C:\WINDOWS\xlkfs.ini C:\WINDOWS\system32\drivers\xlkfs.sys

1.cmd查詢服務狀態:sc qc xlkfs

2.cmd停止服務:net stop xlkfs

在搜索seo文件發現目標出現

image

image

posted @ 2020-04-09 13:50  我要變超人  閱讀(78)  評論(0編輯  收藏
最新chease0ldman老人