WenGui
Windows系统提供了多种文件隐藏方式,其中普通文件隐藏和受保护的系统系统文件隐藏是最常见和易于实现的方式。这里简单记录自己安全工作中常常使用和遇到的文件隐藏方式说明。
1. 隐藏文件概述
正常来说,文件隐藏是为了避免文件被直接修改,对于不懂计算机的人来说也比较友好。在安全角度,攻击者隐藏恶意文件主要就是避免被安全软件或管理员发现、维持持久化访问、干扰应急响应人员的调查。
最简单常见的文件隐藏方式包括:文件属性隐藏、受保护的操作系统文件。
1.1 文件属性隐藏
最常见的的文件隐藏方式,自然不需要多说,隐藏方式也比较简单:
右键目标文件 → “属性”→ 勾选“隐藏”→ 点击“应用”
使用 attrib 命令:
attrib +h c://filepath
1.2 受保护的操作系统文件
这个方式比较特殊,默认情况下,即使打开了显示隐藏文件也无法直接在文件管理器内容看到文件,最典型的就是每个文件夹下的 desktop.ini 文件。只有手动调整配置或使用命令的情况下才可以看到文件。
使用 attrib 命令将文件设为受保护的操作系统文件:attrib +s +h c://filepath,需要注意,只要同时设置隐藏属性时,文件才会不可见。
2. 如何查看
基于属性隐藏的文件,其实也不需要多说:
显示隐藏文件:打开文件资源管理器 → 点击顶部菜单栏的 “查看” → 勾选 “隐藏的项目”。
修改隐藏属性:右键目标文件 → “属性”→ 取消勾选“隐藏”→ “应用”。
受保护的操作系统文件,不建议显示,如果需要,可以直接设置:
打开文件资源管理器 → “查看” → 取消勾选 “隐藏受保护的操作系统文件(推荐)”。
如果你直接压缩整个文件夹,使用压缩软件预览,也是可以看到滴!
当然,最方便的方式还是通过命令行(dir /a 或 attrib)来直接查看,如下图:
3. 简单总结
其实这两种隐藏方式比较简单,但也需要在安全排查关注中重点关注一下。