前几天重装了一下系统,顺便从网上下了个一键还原精灵,做了备份。为了防止意外发生。我想把备份出来的ghost镜像再备份一下。可是找了半天,却没有发现.gho的文件。无解中……
看了这个版本的介绍更是无解,深度隐藏???
一键还原精灵专业版7.25 简介:
此版本不划分硬盘分区也不更改硬盘MBR,而是将系统备份到一个深度隐藏的文件夹里。适合新手和一般家庭用户使用
我把系统备份到了E盘,它自动生成了yjbf的文件。打开一看,里面还有一个g.和readme.txt文件,txt文件内容为【警告!!!切勿删除此文件夹中的任何文件、也不得格式化此分区,否则一键还原精灵则失效!!!】
点g.文件出现了一下错误:
好吧,我快被打败了。找不到备份。但是硬盘容量少了2个G。 我知道,就在这里。现在就是方法的问题了。
理了理思路,发现g.文件夹很有嫌疑。
感觉这个.应该和dos中文件目录.和..差不多。
于是在地址栏中我尝试着输入了g..
没想到真的找到了这个世外桃源。惊讶~~~~
===============================================================================================
于是找了很多资料,问题才开始明朗起来
这个是一个windows文件夹漏洞。要是系统中发现了文件名.的文件夹就要留个心眼了。可能是感染了木马或安装了某些特殊的目录加密软件。
=================================华丽的路过==========================================
那么怎么可以创建这样的文件呢?
问的好!
专家已做了解释:
【大家都知道在Windows中“/”符号是路径的分隔符号,比如“C:/Windows/”的意思就是C分区中的Windows文件夹,“C:/Windows/System.exe”的意思就是C分区中的Windows文件夹中的System.exe文件,好继续我们假设一下:
如果文件名中有“/”符号会怎么样呢?假如“S/”是一个文件夹的名字,这个文件夹位于:“F:/”,他的路径就是“F:/S/”,当我们试图访问的时候Windows会错误的认为我们要打开的文件是C分区的S文件夹,这样Windows就无法打开并且会返回一个错误,因为以上的路径并不存在。
也许你现在正在尝试创建“S/”文件,但是Windows会提示你:“/”符号是不能作为文件、文件夹的名字的。看来Windows还是早已想到这一点了的。我们继续进行,就不信不能建立包含“/”符号的文件。
现在打开你的电脑,我们要做一些很有趣的尝试。进入Windows后点击:开始>运行,然后输入“cmd”并回车(如果是Win98请输入"COMMAND”),这时你会看到Windows的命令控制台,我们就是要利用它完成我们剩下的测试:
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
F:/Test>mkdir s/
F:/Test>mkdir s/s1/
F:/Test>mkdir s./
子目录或文件 s./ 已经存在。
F:/Test>mkdir s../
F:/Test>mkdir s.../
为什么会这样?我们先说你看到的这个“S.”文件夹,他即不能打开也不能删除,不能打开是因为他的实际路径是“F:/Test/s../”(我们自己创建的所以可以确定他的实际路径)但是在Windows资源管理器中名字变成了“S.”也就是说当你试图打开它的时候Windows实际上尝试打开“F:/Test/s./”当然是不能打开的,文件并不存在,所以Windows会报错。不能删除也是因为这个,Windows把一个实际存在的文件路径错误的解析为一个不存在的路径,并进行操作当然是无法完成的。
该说“S..”这个文件了,这个文件可以打开,但是却无法删除。等等……打开?你以为Windows真的是打开了我们创建的“s.../”文件了吗?我们做下面的试验你就明白了:
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
F:/Test>echo 1 > Txt1.txt
F:/Test>copy Txt1.txt s../
已复制 1 个文件。
F:/Test>echo 2 > Txt2.txt
F:/Test>copy Txt2.txt s../
已复制 1 个文件。
F:/Test>
现在回到你的资源管理器打开“S..”文件夹,你看到了什么?“Txt1.txt”文件怎么会在这里?我们刚刚的确复制到了“S.”呀?难道我们打开“S..”文件夹实际上就是打开了“S.”?不错事实就是这样。其实如果你再创建一个“S”文件夹的话“S.”就能打开了,但是实际上打开的是“S”。
“我该怎么删除它呢?”,删除它也不算很难,但是常规的方法是绝对删不掉的。有两种方法可供选择:1、进入DOS删除(不推荐)。2、还是进入命令提示符然后输入“rmdir 目录名”,目录名就是你创建的时候的名字,如果忘记了可以先在资源管理器查看,然后加上“./”。如果提示“文件夹不是空的”应该加上“/s”参数。删除实例:
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
F:/Test>dir
驱动器 F 中的卷是 BGTING
卷的序列号是 2C8E-FE1C
F:/Test 的目录
2003-09-11 17:50 <DIR> .
2003-09-11 17:50 <DIR> ..
2003-09-11 18:35 <DIR> s.
2003-09-11 18:37 <DIR> s..
1 个文件 9 字节
5 个目录 3,390,029,824 可用字节
F:/Test>rmdir s../
目录不是空的。
F:/Test>rmdir s../ /s
s../, 是否确认(Y/N)? y
F:/Test>rmdir s.../ /s
s.../, 是否确认(Y/N)? y
利用这个漏洞我们可以做很多事情,比如想访问“S”文件夹,但是没有权限的时候我们可以创建“S../”来指向“S”这样就可以跨权限浏览。而且新一代的木马程序很可能利用此漏洞把自身藏在某个“X../”目录下这样用户根本不可能发现他,就算专业级的杀毒软件也只会去杀“X”而跳过“X../”。如果恶意程序在机的计算机上创建很多“../”文件夹的话,那个时候Fotmat也许是最好的选择了。
1.在Windows中创建“X../”文件夹后该文件夹将无法通过常规方法删除,但是却可以Copy文件进去,在资源管理器显示为“X.”,错误的指向“X”文件夹。(嘿嘿,怎么有点像快捷方式?)
2.创建“X../”的方法是在命令行输入“mkdir X../”。
3.删除它的方法是在命令行输入“rmdir 目录名”,目录名就是你创建的时候的名字,如果忘记了可以先在资源管理器查看,然后加上“./”。如果提示“文件夹不是空的”应该加上“/s”参数。】