和网管斗争到底 制造永不被杀的80端口后门

----------------------------------------------

为什么会这样？我们先说你看到的这个“S.”文件夹，他即不能打开也不能删除，不能打开是因为他的实际路径是“c:winntsystem32myhomes..”（我们自己创建的所以可以确定他的实际路径）但是在Windows资源管理器中名字变成了“S.”也就是说当你试图打开它的时候Windows实际上尝试打开“c:winntsystem32myhomes.”当然是不能打开的，文件并不存在，所以Windows会报错。不能删除也是因为这个，Windows把一个实际存在的文件路径错误的解析为一个不存在的路径，并进行xx作当然是无法完成的。

该说“S..”这个文件了，这个文件可以打开，但是却无法删除。等等……打开？你以为Windows真的是打开了我们创建的“s...”文件了吗？我们做下面的试验你就明白了。还是老规矩{}是我的注释方便大家理解：

----------------------------------------------

Microsoft Windows XP [版本 5.1.2600]
　　(C) 版权所有 1985-2001 Microsoft Corp.

c:winntsystem32myhome>copy net.asp s.. {复制刚刚你的asp的木马文件到“s..”，资源管理器的“S.”}
　　已复制 1 个文件。

c:winntsystem32myhome>

----------------------------------------------

现在回到你的资源管理器打开“S.”文件夹，你看到了什么？“net.asp”文件怎么会在这里？我们刚刚的确复制到了“S.”呀？难道我们打开“S.”文件夹实际上就是打开了“S”？不错事实就是这样。其实如果你再创建一个“S”文件夹的话“S.”就能打开了，但是实际上打开的是“S”。

这是关键的话题了，其实我们就利用S.目录不被杀的目的来隐藏我们的木马，不管木马都毒，可是一般来说的exe文件不能在s.这样的目录下运行的，但是asp木马却可以！可以通过浏览来执行CMD命令，把net.asp复制到s.目录后，把net.asp删了，我们在浏览器http://127.0.0.1/kiss/kiss/s../net.asp 就可以看到浏览得asp木马了到了，一般用户根本不可能发现他，就算专业级的杀毒软件也只会去杀“s”而跳过“s..”，好了那就说一下删除方法吧

Microsoft Windows XP [版本 5.1.2600]
　　(C) 版权所有 1985-2001 Microsoft Corp.

F:Test>dir
　　驱动器 F 中的卷是 BGTING
　　卷的序列号是 2C8E-FE1C

F:Test 的目录

2003-09-11 17:50 <DIR> .
　　2003-09-11 17:50 <DIR> ..
　　2003-09-11 18:35 <DIR> s.
　　2003-09-11 18:37 <DIR> s..
　　1 个文件 9 字节
　　5 个目录 3,390,029,824 可用字节

c:winntsystem32myhome>rmdir s..
　　目录不是空的。

c:winntsystem32myhome>rmdir s.. /s
　　s.., 是否确认(Y/N)? y

c:winntsystem32myhome>rmdir s... /s
　　s..., 是否确认(Y/N)? y

这也不用担心搞坏你肉鸡了，好了这样一个很隐蔽的后门就建立了，而且不被杀，如果在肉鸡，上述要在3389进行测试通过的。