|
這是真的,,每個(gè)windows系統(tǒng)都藏著一個(gè)影子,專業(yè)名詞叫shadowcopy,,它基于VSS技術(shù),,像一些電腦有自動(dòng)恢復(fù)功能,用的就是這個(gè)技術(shù),。這里我們不去管這些專業(yè)名詞,,我直接告訴你它怎么用,如何來隱藏文件,。我寫這篇文章原因,,也是前段時(shí)間有個(gè)讀者和我交流技術(shù),老擔(dān)心自己的論文被別的同事竊取,,那我今天就來教大家如何用影子卷標(biāo)技術(shù)來隱藏自己的重要文件,,這也是黑客猥瑣流手段之一。 我是在win10上測(cè)試,,我在d盤建立了一個(gè)mimi的文件夾,里邊放了一個(gè)mimi.txt的文本文件,。下文我告訴大家如何來隱藏它,。 一、 以管理員權(quán)限打開命令提示符,,運(yùn)行powershell命令 按下win+x鍵,,選擇管理員權(quán)限打開命令提示符,在提示符里輸入powershell,,再依次輸入以下這三條命令:
然后記下圖中出現(xiàn)的{EB626634-0745-467C-896D-8288F465BB9A}這串字符。 二,、查看我們建立的影子卷標(biāo)的目錄 運(yùn)行命令:gwmi win32_shadowcopy | select -property deviceobject,__RELPATH 很明顯看到我們剛才建立的卷標(biāo)對(duì)應(yīng)的目錄是\?GLOBALROOTDeviceHarddiskVolumeShadowCopy5。因?yàn)槲业穆?lián)想本也有恢復(fù)功能,,所以在此之前有個(gè)3個(gè)影子,。 三、如何用影子隱藏文件,? 記得文章開頭時(shí)我說的我在D盤建立了一個(gè)mimi文件夾嗎,?你現(xiàn)在可以把這個(gè)文件夾刪掉了,你自己都找不到自己的文件了(測(cè)試的時(shí)候,希望先做好備份,,再清空回收站),。但是在影子里我們還藏有一份呢。你只需要把 “\?GLOBALROOTDeviceHarddiskVolumeShadowCopy5” 里邊的“,?”換成點(diǎn)就可以使用了,,像這樣\.GLOBALROOTDeviceHarddiskVolumeShadowCopy5。 我們可以對(duì)這里的以前刪除過的文件進(jìn)行顯示,、復(fù)制,、打開等操作。 像dir \.GLOBALROOTDeviceHarddiskVolumeShadowCopy5mimimimi.txt等操作,。 四、如何刪除影子,? powershell命令里執(zhí)行: gwmi win32_shadowcopy | where {$_.id -eq '{EB626634-0745-467C-896D-8288F465BB9A}'}|remove-wmiobject 命令里里的那一串?dāng)?shù)字就是你上文中記下的數(shù)字。但刪除影子之前,,不要忘記把你的秘密文件先復(fù)制出來呀。 這項(xiàng)技術(shù),,如果把黑客軟件藏在里邊,,能否躲過殺軟,我并沒有測(cè)試,。另外,,我再提醒大家一下,,以前我也寫過一篇不同技術(shù)隱藏文件的文章《WIN10下用魔鬼模式隱藏文件,,別人再也看不到了》,,大家可以比較一下,哪個(gè)更好,,我是偏向于此黑客猥瑣流的方法的,。 |
|
|
