一.瞒天过海
我们使用资源编辑软件(ResHacker、Restorator等)打开C:\windows\system32\shell32.dll,找到几个空白的图标,任选其一导出。
再打开要隐藏的文件(需是支援编辑软件支持的文件类型),将图标替换成刚才导出的空白图标并保存。
然后为文件改名,按住ALT键,在小键盘区依次按1、2、7这三个键,会发现文件名变成类似空格的不可显现的字符(Windows下不支持空格做文件名,但CMD里可以给文件改成空格的名字,命令:ren 1.txt “.txt”,或者直接把文件名去掉ren 1.txt .txt),再把文件夹选项里的“隐藏已知文件类型的扩展名”勾上就完成了。这样,这个文件就是一个空白的文件,不仔细找还是很难发现的。
优点:对不细心的人来说隐藏效果不错。
缺点:如果给文件所在目录排序,就能看到一块空白区域,那么就露馅了,如果没有去掉隐藏后缀的选项,更显眼。
二.釜底抽薪
打开注册表regedit,来到[HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden]下,有两个项“NOHIDDEN”和“SHOWALL”,展开“SHOWALL”,此时有以下三种方法。
1.将“CheckedValue”值改为0,会发现在“文件夹选项”里即使选中“显示所有文件和文件夹”也无法看见隐藏文件,回到“文件夹选项”发现仍然选中的是“不显示隐藏的文件和文件夹”。
2.将“CheckedValue”值改为2,则无法显示隐藏文件,不过在“文件夹选项”里会看见“显示所有文件和文件夹”和“不显示隐藏的文件和文件夹”均被选中。
3.将“CheckdeValue”删除,则“显示所有文件和文件夹”选项会消失。
优点:对注册表还不熟悉的人无疑是一个致命打击(几乎所有病毒都会采取此法)。
缺点:正相反,稍微了解点注册表的人就能轻松突破。
三.柔中带刚
在任一NTFS分区下打开命令提示符,输入type 文件名+后缀>>任意文件:任意文件名+原文件后缀,比如type 1.jpg>>1.exe:2.jpg。查看1.exe的大小,跟隐藏前相比并没有变动,不过如果打包成压缩文件就能看出来猫腻了。查看隐藏文件的方法就是用对隐藏文件格式的软件打开,比如图片文件就用Windows自带的画图程序,命令mspaint 1.exe:2.jpg。如果是用第三方软件打开,就能指定完整的路径了,比如用ACDSee,路径就是D:\ACDSee9\ACDSee9.exe D:\1.exe:2.jpg。注意这里的2.jpg,后缀最好跟原文件一致,不然用第三方软件打开时可能会出错。关于NTFS文件流的详细内容方法,大家可以去网上找一下。
优点:隐蔽性极高,如果不知道冒号后的虚拟文件名基本上不可能发现隐藏的文件。
缺点:必须在NTFS分区里才能用,一旦流文件被移动到非NTFS分区里,文件流数据将丢失。
四.借花献佛
Windows里有一些特殊的文件夹,找出他们的技巧是:1.醒目,图标是独一无二的;2.在这些文件夹里单击右键没有“新建”选项:C:\Recycler\S-1-3-21-746137067-2077806209-839522115-500(这里的S-1-3-21-746137067-2077806209-839522115-500对应的是系统账户的SID,每个系统,每个账户都不同且是独一无二的),C:\Documents and Settings\Administrator\Local Settings\History.C:\WINDOWS\Downloaded Program Files.C:\WINDOWS\Offline Web Pages.C:\WINDOWS\Tasks。还有一个稍微有点不同的目录C:\WINDOWS\Fonts,对应的是“控制面板”里的“字体”,不过它的图标跟普通文件夹一样。直接往这些文件夹里复制文件是不行的,而且也不能新建文件,必须在CMD里用copy命令才能复制过去,或者用第三方软件,比如winRAR、冰刃等。文件复制过去后,在这些目录里是怎么也找不到的,直接在地址栏里输入文件全路径也不行(C:\WINDOWS\Fonts例外,可以通过地址栏访问到),系统里的搜索功能也不能找出,只有在CMD或第三方软件里才能看到,运行里输入文件全路径也能运行。
优点:不做任何修改,无迹可寻。
缺点:遇到有耐心的人每个目录都用第三方软件或CMD去仔细查看,那么我们就露馅了。
五.解甲归田
一个巴掌拍不响,万人鼓掌声震天,这句话强调的就是团结的力量。单独使用肯定比不过综合运用,个人力量绝对憾不动众志成城。刚才只是为大家作一个引子吧,希望各位都能够发掘出更多更实用的技巧。