說到隱藏 WebShell 的方法，從最初的包含圖片（#include file="a.jpg"）、 設置文件隱藏屬性（Fso 組件可以做到，完全支持），再到較早的畸形目錄、 特殊文件名（兩年前開始流行），或者兩者結合使用（例如：c:\a.\aux.txt）， 直到現在的驅動級隱藏（大約一年半前開始流行），這些小黑客們也算是有一點進步吧…… 先掃盲，普及一下相關知識： 

畸形目錄：  目錄名中存在一個或多個. (點、英文句號) 

特殊文件名：  其實是系統設備名，這是 Windows 系統保留的文件名，普通方法無法訪問， 主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt 

驅動級隱藏：  由于這些小黑客們都沒有能力編寫驅動，所以主要是借助一些第三方軟件進行隱藏， 例如：Easy File Locker 1.3，如今很流行，底下會詳細講。 

其他方法：  循環鎖定文件，一兩年前曾經很火爆，首先弄一個非木馬腳本（不會被殺）， 只有簡單的文件讀寫功能，然后在一個 24 小時運行的服務器上，使用程序每隔一秒請求一次該腳本， 該腳本每次執行時會檢查目標文件（某個掛馬或者黑帽 SEO 的文件）的大小以及屬性是否正確， 如果不是，那么就刪除，然后重寫，在設置屬性，從而達到“文件鎖定”的目的， 該方法一般和畸形目錄+特殊文件名配合使用。 

另類方法：  Aspx 可以打開文件，但不關閉句柄，在此期間該文件就無法刪除或修改， 有效期直到下次 IIS 或服務器重啟。 如果無法提權，但是支持低權限運行程序，那就可以寫一個簡單的程序傳上去， 低權限鎖定文件，直到該進程結束或服務器重啟，鎖定方法可以參考上邊的， 例如循環監視鎖定，或者文件句柄……

以上這些隱藏方法，如今已經被大量應用到黑帽 Seo、掛馬、關鍵詞優化等非法活動中了， 各大站長、管理員深受其害…… 畸形目錄、特殊文件名的創建、刪除方法都很簡單： 

畸形目錄：  只需要記住將一個點換成兩個點就行了，例如： 創建一個“a..”目錄：md c:\a..\，實際顯示為：c:\a.\，普通方法無法訪問， 以此類推，也可以為多個點…… 刪除的方法也一樣：rd /s /q c:\a..\ 

特殊文件名：  稍微復雜點，普通的路徑訪問是無法訪問的，需要用這種方式的路徑： \\.\c:\aux.txt 或\\?\c:\aux.txt 或\\計算機名\c:\aux.txt（網上鄰居形式的路徑）， 例如： 創建一個文件：echo hello>\\.\c:\aux.txt 讀取該文件內容：type \\.\c:\aux.txt 刪除該文件：del /f /q /a \\.\c:\com1.txt 很簡單，是吧，好的，現在我們挑戰更復雜一點的…… 畸形目錄+ 特殊文件名：

創建：  md c:\a..\ echo hello>\\.\c:\a..\aux.txt 

讀取：  type \\.\c:\a..\aux.txt 刪除的方法已經不能用剛才的了，需要這樣： rd /s /q \\.\c:\a..\ （還有些其他的特殊路徑，可以參考：帶點文件夾的創建與刪除、 【技巧】名字帶“\”文件夾的創建與刪除 ） 很好，現在，你已經學會了如何處理這種目錄、文件了，以上的操作， Asp 使用 Fso 組件完全可以做到，完全支持這種路徑， 也就是說普通的 WebShell 權限就可以完成了…… \(^o^)/ 至于“其他方法”和“另類方法”的清理就比較簡單了，例如： 

其他方法：  找出可疑腳本，然后刪除即可，可以搜索關鍵詞，例如 Asp 中的： FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等…… 其實最簡單的方法是查看 IIS 日志，看那個文件被頻繁大量請求， 然后找出該文件，然后你懂的…… 此方法經常配合畸形目錄、特殊文件名、包含圖片等結合使用， 使用剛才講過的方法清理即可。 

另類方法：  比較簡單了，找出可疑進程，最明顯的是用戶名是 IIS 的賬戶，結束掉，然后刪除該文件。

最后重啟 IIS 即可，各種鎖定文件句柄的方法統統會失效，或者干脆重啟服務器。 再提一下，一般，一個有價值的網站，他們不會輕易放棄的，會留下一堆后門， 各種文件中插入一句話，保留原來的漏洞或者人為的制造一個漏洞， 即使所有后門都被清理，依舊可以拿下！ 而且還會定期檢查，有人還使用軟件 24 小時監控掛馬的頁面，每秒一次， 發現不存在某個關鍵詞就報警，然后攻擊者就上去恢復，這也是為什么刪了又會出現， 刪不干凈的原因…… 如果已經遭到提權的話，系統可能已經中了一堆木馬，各種“粘滯鍵后門”、 “放大鍵后門”、“Win+U 后門”、“隱藏、克隆賬戶”、“觸發式后門”等…… 所以，你事后需要要全面檢查下系統了，不要忘記檢查殺毒軟件的白名單，你懂的…… 進行這些操作，我本人推薦使用手工殺毒工具“PowerTool v4.2”、“XueTr v0.45”， 在文章的最后我會寫上官方下載地址。 使用這兩個軟件要注意下，它們使用的驅動兼容性很差，有比較大的幾率會造成系統藍屏， 所以如果您的機器不支持在線重啟的話，您可要掂量好再用，希望他們以后的版本能改進下…… 

說到驅動隱藏，最典型的現象就是系統盤及系統目錄中存在以下文件： c:\Program Files\Easy File Locker c:\Program Files\Easy File Locker\FileLocker.exe c:\Program Files\Easy File Locker\uninst.exe c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk c:\Documents and Settings\Administrator\「開始」菜單\程序 \Easy File Locker c:\Documents and Settings\Administrator\「開始」菜單\程序 \Easy File Locker\Easy File Locker.lnk c:\Documents and Settings\Administrator\「開始」菜單\程序 \Easy File Locker\Uninstall.lnk 

↑ 以上文件十有八九已被攻擊者刪除（管理員想破腦袋，都不知道怎嘛回事），

但以下文件是絕對存在的！ ↓ c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys 該軟件名字叫：Easy File Locker，一般用 Easy File Locker 1.3，或著是其它版本，你可以搜一下，網 上一堆…… 功能很簡單，簡單的驅動隱藏文件（簡單的 C、C++ 就可以實現，網上大量源碼），支持單個文件或者整個 目錄。 支持設置訪問權限，屬性為：可讀/可訪問（Accessible）、可寫（Writable）、可刪除（Deletable）、可見

一般做黑鏈的小朋友都會這樣設置：只勾選可讀，其他的一律拒絕…… 那么，會有這樣的效果，該文件不會顯示，不能通過列目錄列出來，也不能刪除，除非你知道完整路徑， 你才可以讀取文件內容。 這也是為什么各位管理員頭疼的地方了，愣是找不到文件，但是直接訪問網站卻是可以執行的…… ╮(╯_╰)╭ 并且該軟件還可以設置密碼，啟動、修改設置、卸載及重復安裝的時候都需要密碼，更蛋疼的是，主界面、 卸載程序等都可以刪除，只留下核心的驅動文件就行了……

解決方法下次更新