瑞星卡卡安全论坛技术交流区系统软件 2.被微软“深度隐藏”的文件【转贴】【讨论】

1   1  /  1  页   跳转

2.被微软“深度隐藏”的文件【转贴】【讨论】

2.被微软“深度隐藏”的文件【转贴】【讨论】

这些目录就是你发现的硬盘空间减少之谜的直接原因.也许你会发现其中存在一些很有趣的东西:
  你所访问过的所有色情网站的图片(译者注:我的计算机里可没有啊 )和其他一些完全是在浪费你的硬盘空间的Internet临时文件如果你使用HOTMAIL(或其他一些页面邮件服务系统),你可以看到你的一些旧信息就存放在那里,如果自己想再次浏览他们,只要把他们拷贝到其他的目录 然后用你的浏览器打开就可以了.从这些cookies中重新获得你的个人信息非常容易.譬如,你曾经在Amazon.com购过物,那么这里就有你的姓名 和E-MAIL,如果你是Hollywood.com的一个用户,那么这里就有你的城市,国家和邮编MP3.com也保留了类似的信息.那么在进行下一步 骤之前,慢慢享受这些由数字和字母命名的文件夹带给你的"乐趣"吧.
4)输入以下命令:
CD\WINDOWS\TEMPOR~1\CONTENT.IE5
EDIT /75 INDEX.DAT (或者 "EDIT /16 index.dat"


  你将会看到一个充满二进制串的蓝色编辑界面.
5)按住"Page Down"直到你开始看到一些联接的列表.
  这些都是你曾经访问过的站点及这些站点的摘要.除了这些联接外,你还会发现他甚至以纯文本的形式纪录了你在搜索引擎所输入的每一个关键字.
6)在你搜索完毕后,你可以选择"File">"Exit"来退出.
  下面你可以通过输入以下命令来删除这些文件:
7)DELTREE/Y C:\WINDOWS\TEMPOR~1
  (如果你的TIF文件夹不是C:\WINDOWS\TEMPOR~1的话,就用正确的来替换他)
  以上这个操作可能也会花费相当长的一段时间,当你完成后,我们来看看你的历史纪录吧.
8)输入以下命令:
CD\WINDOWS\HISTORY\HISTORY.IE5
EDIT /75 INDEX.DAT (或者 "EDIT /16 index.dat"


  你将会再次看到一个充满二进制串的蓝色编辑界面.
9)按住"Page Down"直到你开始看到一些联接的列表.这些是你曾经访问过的站点的另一个记录.这里可能还存有其他一些东西,如果你还看到什么有意思的东西,你可以发E-MAIL给我.现在我将与你分享一些来自我的index.dat里的片段.
Client UrlCache
MMF Ver 5.2@<!--[if !supportFootnotes]-->[1]<!--[endif]-->
@<!--[if !supportFootnotes]-->

--------------------------------------------------------------------------------
<!--[endif]-->3yia


àOD ê:+0
0?
‘?
}*á? 5.t
xt<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->
59
<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->
MS6C:%

<!--[if !supportFootnotes]-->[1]<!--[endif]-->\DAVE'S
HD.TXT
MSIE5.
C:


  你注意到"C:"和"\DAVE'S HD\MSIE5.TXT"了么?
  "DAVE"是我计算机里我的用户名,"DAVE'S HD"是我的局域网中的根文件夹.而"MSIE5.TXT"是我计算机里存放的一个文本文件的文件名,其中包含的就是我这项研究的结果,主要是一些联接和注释.
  你看到这个场面你发现有什么不对劲的了么?天啊!他竟然会对我的硬盘里的文件做手脚!,不光如此,而且他还把这个文件存放在一个即不能用DOS也不能用Windows Explorer发现的地方.这个文件又与我的这个研究相关,难道这仅仅是巧合么?!
  显然,我的第一个假设就是微软扫描我的硬盘记录任何包含"敏感"字符的信息.在上面的这个例子里,可能是我的"MSIE5.TXT"中包含了一些微软不愿意看到的东西,想要知道我又发现了什么,请参考第8部分"FIND FAST的真正面目".
1)如果这时你还耐着性子看我的文章,那么就输入以下的命令:
CD\WINDOWS\HISTORY


2)找出这些mmXXX.dat(删除他们),再输入以下命令:
CD\WINDOWS\HISTORY\HISTORY.IE5
CD MSHIST~1
EDIT /75 INDEX.DAT (或者 "EDIT /16 index.dat" )


  你会发现这里有更多你internet历史记录,注意可能这里还有其他的一些mshist~x文件夹.
3)你可以对发现的每一个mshistxx文件重复以上的步骤.
4)看到这你可能忍无可忍的想删除些什么了,那么输入以下的命令:
CD WINDOWS
DELTREE/Y HISTORY


  我所知道的就这么多了,如果你使用Outlook的话,你可以再检查一下你的*.mbx文件(dir *.mbx/s),在下一章节我们将更加深入的继续我们的讨论.
--------------------------------------------------------------------------------
5.看看OUTLOOK EXPRESS的真正面目
  好好想想如果你的所有的E-MAIL信息都被暗中的记录下来的话,你会怎么说?E-MAIL记录保留了你所说的一切记录,即使你已经使用OUTLOOK来 进行过删除操作.你被OUTLOOK蒙骗了,以为自己进行过2次删除,那么那些信息就理应彻底的从这个世界里消失了.首先,OUTLOOK先将你的删除的 文件移到一个"删除的项目"文件夹中,在你清空这个文件夹的时候,OUTLOOK只是"假装"你要删除的文件真正的从你的计算机里被物理删除了,而事实 是,你所删除的文件只是被暗中存放在一个"深度隐藏"的文件夹中.
  更有甚者,OUTLOOK EXPRESS还将你的每一个E-MAIL的附件的信息暗中存放在一个加过密的数据库内.天啊!你能相信这是真的么?!
  我们来做一个试验,我将一个ZIP文件作为附件发送给我自己的电子邮箱.
PK<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]--><!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->'...?*}??P<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->AAA-à?€?-83PK<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]--><!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->+...?*8?M3P
<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->BBB-à?€?%-83PK<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]--><!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->....?*??.?P<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->CCC-à?€?!-83PK<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->
<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->2...?*2?`P<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->DDD-à?€?-83PK<!--[if !supportFootnotes]-->[1]<!--[endif]-->
'...?*}??P<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->
AAAPK<!--[if !supportFootnotes]-->[1]<!--[endif]-->+...?*8?M3P
<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]--> 1BBBPK<!--[if !supportFootnotes]-->[1]<!--[endif]-->
....?*??.?P<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]--> bCCCPK<!--[if !supportFootnotes]-->[1]<!--[endif]-->2...?*2?`P
<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->
"DDDPK<!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]--><!--[if !supportFootnotes]-->
--------------------------------------------------------------------------------
<!--[endif]-->??


  这样这个文件的信息就在我的inbox.mbx和outbox.mbx文件中都有记录了.
UEsDBBQAAAAIACeFjip9jZkaEAAAAFAAAAADAAAAQUFBrcCBAAAAAIAg1vgpljizAFBLAwQUA AAACAArh
Y4qOPhNMxAAAABQAAAAAwAAAEJCQq3AgQAAAACAINf4JZY4swBQSwMEFAAAAAgA LoWOKsTWLp0QAAAAUA
AAAAMAAABDQ0OtwIEAAAAAgCDY+CGWOLMAUEsDBBQAAAAIADKF jiqyEuVgEAAAAFAAAAADAAAARERErcC
BAAAAAIAg2fgdljizAFBLAQIUABQAAAAIACeFjip9jZkaEAA AAFAAAAADAAAAAAAAAAEAIAAAAAAAAABB
QUFQSwECFAAUAAAACAArhY4qOPhNMxAAAABQ AAAAAwAAAAAAAAABACAAAAAxAAAAQkJCUEsBAhQAFAAAA
AgALoWOKsTWLp0QAAAAUAAAA AMAAAAAAAAAAQAgAAAAYgAAAENDQ1BLAQIUABQAAAAIADKFjiqyEuVgEA
AAAFAAAAADAAAA AAAAAAEAIAAAAJMAAABERERQSwUGAAAAAAQABADEAAAAxAAAAAAA


  希望有人能尽早的把解密算法注册出来.
  看到这,你也许急着知道,究竟这些记录都存放在什么地方,别急,他们就存放在这个地方:
c:\program files\internet mail and news\%user%\mail\*.mbx
(用你的用户名来替换其中的%user%)


  如果你走运的话,你会发现在以下的目录里也有他们的身影:
c:\windows\application data\microsoft\outlook\mail\*.mbx


  我第一次安装OUTLOOK的时候,我只在"internet mail and news."目录里找到了以上的文件,而当我卸载OUTLOOK又重新安装他时,这些文件又被存放到了"application data"文件夹中.
  想要删除这些暗中保留的信息,你只要输入以下的命令(当然如果你执行了这些删除操作你所有的E-MAIL信息也就消失了,所以请先备份重要的信息)
Deltree c:\windows\intern~1\%user%\mail


  或者
Deltree c:\windows\applic~1\micros~1\outloo~1\mail


--------------------------------------------------------------------------------
6.微软是如何做到这些的
  不知你可曾考虑微软是如何让这些文件在DOS和Windows Explorer中都不可见的?我曾经一度非常困惑,因为即使我使用DOS6.2的启动盘来启动计算机仍然看不到这些文件.这个问题困扰了我很久,但是最终我还是在这些文件夹中找到了原因.
  "desktop.ini"是一个文件夹中的标准文本文件,用来定制一类文件夹行为的某些特定的方面.在这个方面,微软使用"desktop.ini"文 件来使得这些文件不可见.使这些文件对于Windows Explorer,DOS,"查找功能"都不可见.(这就是你为什么不能在这些文件夹中执行"查找"功能的原因了)
  这里有一些例子:
  在c:\windows\temporary internet files\desktop.ini和c:\windows\temporary internet files\content.ie5\desktop.ini文件中都可以找到以下的一些代码:
[.ShellClassInfo]
UICLSID={7BD29E00-76C1-11CF-9DD0-00A0C9034933}

[.ShellClassInfo]
UICLSID={7BD29E00-76C1-11CF-9DD0-00A0C9034933}
CLSID={FF393560-C2A7-11CF-BFF4-444553540000}


  其中的UICLSID键值使的这个文件夹在DOS和Explorer中都不可见,而CLSID则禁用了这个文件夹中的查找功能.除此之外,他们还让这些文件夹表现为"历史"状态.(如果你仔细研究了这些东西,你会明白我的意思的)
  在删除了"desktop.ini"文件后,DOS和Windows Explorer又恢复了正确显示这个文件夹的功能.问题是,在你计算机的下一次重启时,windows会重新生成这个"desktop.ini"文件. 解决的办法是编辑"desktop.ini"文件,删除除了[.ShellClassInfo]以外的所有内容.这样可以欺骗过windows,让他以为 自己已经恢复了这个文件,而不会再次去生成"desktop.ini"文件.
    顺便提醒一下,如果你想删除你的注册表中的这个键值,这些文件夹同样不会显示出来.但是,我仍然坚信总会有人能找出一个彻底的解决微软在你的计算机里"深度隐藏"文件的办法.
--------------------------------------------------------------------------------
7.+s代表隐秘而不是系统
  现在有3个关于DOS的简单的是或否问题.就象你为了得到你的A+证明一样耐着性子做做看吧:
1)是或否:在根目录下执行dir/s会显示你的硬盘中的所有正常属性的文件和文件夹. 正确答案是:" 是! "
2)是或否:在根目录下执行dir/s/ah会显示你的硬盘中的所有隐藏属性的文件和文件夹. 正确答案同样是:" 是! "
3)是或否:在根目录下执行dir/s/as会显示你的硬盘中的所有系统属性的文件和文件夹. 正确答案同样是:" 那只是你这样认为的! "
  当DOS想要获得任何包含一个系统属性的子目录的文件列表时,就会遇到一个无形的阻挡墙.这不仅意味着微软采取了特殊的防范以阻止人们找到这些系统文件,而且使得参数中的第一个"/s"也完全失效,"真狠啊!"
  如果你还不明白,不妨来做以个小试验来看看我究竟是什么意思.
  因为content.ie5和history.ie5文件夹都是包含系统属性,正确的查找命令应该如下:
CD\
DIR *.IE5 /s/as


  屏幕会显示"No files found"的错误信息.
  这就证明了所有包含系统属性的文件或文件夹都不讳被显示出来,但是请相信我,他们确实存在!
  现在,最有趣的地方就是你可以绕过这个无形的阻挡墙.方法就是,一旦你进入了一个系统目录,那么这个阻挡墙在列目录的时候就会失效.譬如:
CD\WINDOWS\TEMPOR~1
DIR *.IE5 /as

1 folder(s) found.


  现在,你就可以看到他们了(但是条件是你知道他们的确切的位置).换句话说,如果你不事先知道这些文件夹的存在,那么你就别想找到他们!
------------------------------------------------------------------------------
[font_color=#FF0000]文本太太大只有分三条发
最后编辑2005-08-02 13:00:34
分享到:
gototop
 

顶上
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT