说到隐藏 WebShell 的方法，从最初的包含图片（#include file="a.jpg"）、 设置文件隐藏属性（Fso 组件可以做到，完全支持），再到较早的畸形目录、 特殊文件名（两年前开始流行），或者两者结合使用（例如：c:\a.\aux.txt）， 直到现在的驱动级隐藏（大约一年半前开始流行），这些小黑客们也算是有一点进步吧…… 先扫盲，普及一下相关知识： 

畸形目录：  目录名中存在一个或多个. (点、英文句号) 

特殊文件名：  其实是系统设备名，这是 Windows 系统保留的文件名，普通方法无法访问， 主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt 

驱动级隐藏：  由于这些小黑客们都没有能力编写驱动，所以主要是借助一些第三方软件进行隐藏， 例如：Easy File Locker 1.3，如今很流行，底下会详细讲。 

其他方法：  循环锁定文件，一两年前曾经很火爆，首先弄一个非木马脚本（不会被杀）， 只有简单的文件读写功能，然后在一个 24 小时运行的服务器上，使用程序每隔一秒请求一次该脚本， 该脚本每次执行时会检查目标文件（某个挂马或者黑帽 SEO 的文件）的大小以及属性是否正确， 如果不是，那么就删除，然后重写，在设置属性，从而达到“文件锁定”的目的， 该方法一般和畸形目录+特殊文件名配合使用。 

另类方法：  Aspx 可以打开文件，但不关闭句柄，在此期间该文件就无法删除或修改， 有效期直到下次 IIS 或服务器重启。 如果无法提权，但是支持低权限运行程序，那就可以写一个简单的程序传上去， 低权限锁定文件，直到该进程结束或服务器重启，锁定方法可以参考上边的， 例如循环监视锁定，或者文件句柄……

以上这些隐藏方法，如今已经被大量应用到黑帽 Seo、挂马、关键词优化等非法活动中了， 各大站长、管理员深受其害…… 畸形目录、特殊文件名的创建、删除方法都很简单： 

畸形目录：  只需要记住将一个点换成两个点就行了，例如： 创建一个“a..”目录：md c:\a..\，实际显示为：c:\a.\，普通方法无法访问， 以此类推，也可以为多个点…… 删除的方法也一样：rd /s /q c:\a..\ 

特殊文件名：  稍微复杂点，普通的路径访问是无法访问的，需要用这种方式的路径： \\.\c:\aux.txt 或\\?\c:\aux.txt 或\\计算机名\c:\aux.txt（网上邻居形式的路径）， 例如： 创建一个文件：echo hello>\\.\c:\aux.txt 读取该文件内容：type \\.\c:\aux.txt 删除该文件：del /f /q /a \\.\c:\com1.txt 很简单，是吧，好的，现在我们挑战更复杂一点的…… 畸形目录+ 特殊文件名：

创建：  md c:\a..\ echo hello>\\.\c:\a..\aux.txt 

读取：  type \\.\c:\a..\aux.txt 删除的方法已经不能用刚才的了，需要这样： rd /s /q \\.\c:\a..\ （还有些其他的特殊路径，可以参考：带点文件夹的创建与删除、 【技巧】名字带“\”文件夹的创建与删除 ） 很好，现在，你已经学会了如何处理这种目录、文件了，以上的操作， Asp 使用 Fso 组件完全可以做到，完全支持这种路径， 也就是说普通的 WebShell 权限就可以完成了…… \(^o^)/ 至于“其他方法”和“另类方法”的清理就比较简单了，例如： 

其他方法：  找出可疑脚本，然后删除即可，可以搜索关键词，例如 Asp 中的： FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等…… 其实最简单的方法是查看 IIS 日志，看那个文件被频繁大量请求， 然后找出该文件，然后你懂的…… 此方法经常配合畸形目录、特殊文件名、包含图片等结合使用， 使用刚才讲过的方法清理即可。 

另类方法：  比较简单了，找出可疑进程，最明显的是用户名是 IIS 的账户，结束掉，然后删除该文件。

最后重启 IIS 即可，各种锁定文件句柄的方法统统会失效，或者干脆重启服务器。 再提一下，一般，一个有价值的网站，他们不会轻易放弃的，会留下一堆后门， 各种文件中插入一句话，保留原来的漏洞或者人为的制造一个漏洞， 即使所有后门都被清理，依旧可以拿下！ 而且还会定期检查，有人还使用软件 24 小时监控挂马的页面，每秒一次， 发现不存在某个关键词就报警，然后攻击者就上去恢复，这也是为什么删了又会出现， 删不干净的原因…… 如果已经遭到提权的话，系统可能已经中了一堆木马，各种“粘滞键后门”、 “放大键后门”、“Win+U 后门”、“隐藏、克隆账户”、“触发式后门”等…… 所以，你事后需要要全面检查下系统了，不要忘记检查杀毒软件的白名单，你懂的…… 进行这些操作，我本人推荐使用手工杀毒工具“PowerTool v4.2”、“XueTr v0.45”， 在文章的最后我会写上官方下载地址。 使用这两个软件要注意下，它们使用的驱动兼容性很差，有比较大的几率会造成系统蓝屏， 所以如果您的机器不支持在线重启的话，您可要掂量好再用，希望他们以后的版本能改进下…… 

说到驱动隐藏，最典型的现象就是系统盘及系统目录中存在以下文件： c:\Program Files\Easy File Locker c:\Program Files\Easy File Locker\FileLocker.exe c:\Program Files\Easy File Locker\uninst.exe c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk c:\Documents and Settings\Administrator\「开始」菜单\程序 \Easy File Locker c:\Documents and Settings\Administrator\「开始」菜单\程序 \Easy File Locker\Easy File Locker.lnk c:\Documents and Settings\Administrator\「开始」菜单\程序 \Easy File Locker\Uninstall.lnk 

↑ 以上文件十有八九已被攻击者删除（管理员想破脑袋，都不知道怎嘛回事），

但以下文件是绝对存在的！ ↓ c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys 该软件名字叫：Easy File Locker，一般用 Easy File Locker 1.3，或着是其它版本，你可以搜一下，网 上一堆…… 功能很简单，简单的驱动隐藏文件（简单的 C、C++ 就可以实现，网上大量源码），支持单个文件或者整个 目录。 支持设置访问权限，属性为：可读/可访问（Accessible）、可写（Writable）、可删除（Deletable）、可见

一般做黑链的小朋友都会这样设置：只勾选可读，其他的一律拒绝…… 那么，会有这样的效果，该文件不会显示，不能通过列目录列出来，也不能删除，除非你知道完整路径， 你才可以读取文件内容。 这也是为什么各位管理员头疼的地方了，愣是找不到文件，但是直接访问网站却是可以执行的…… ╮(╯_╰)╭ 并且该软件还可以设置密码，启动、修改设置、卸载及重复安装的时候都需要密码，更蛋疼的是，主界面、 卸载程序等都可以删除，只留下核心的驱动文件就行了……

解决方法下次更新