rhsa型asp木马隐藏分析

最近在放马的时候发现，下载了一个asp木马，但是却怎么也找不到。文件目录没有显示，用路径却可以只读打开。一怒之下用diskgenius打开发现了这款木马的属性很奇特。rhsa。和系统文件一样，当然不能打开了，这要是穿上去，呵呵。

 

这个是因为木马文件中写了更改自己属性的一句话：

if f.Attributes <> 39 and session("lock")="" then
f.Attributes=1+2+4+32
end if

以后可以借鉴学习，加以防范。

 

找了下资料，属性如下：

只读(Read-Only)、归档(Archive)、系统(System)和隐藏(Hidden)

所以用windows更改属性的命令，attrib。这个介绍还不错http://aibiyisheng.blog.51cto.com/449164/92365

一：attrib命令语法介绍
       ①：语法介绍 
        attrib [{+r | -r}] [{+a | -a}] [{+s | -s}] [{+h | -h}] [[Drive:][Path] 
        FileName] [/s[/d]]
        ②：参数介绍 
        +r                   （read）
        设置只读文件属性。
        -r
        清除只读文件属性。
        +a                     
        设置存档属性。
        -a
        清除存档属性。
        +s
        设置系统文件属性。
        -s             （system）
        清除系统文件属性。
        +h
        设置隐藏文件属性。
        -h                  （hidden)
        清除隐藏文件属性。
        /s
        将 attrib 和任意命令行选项应用到当前目录及其所有子目录中的匹配文件。
        /d
        将 attrib 和任意命令行选项应用到目录。
        /?
        在命令提示符下显示帮助。
   上述参数中[] 或{}内的参数为可选参数，即可以设置，也可以不设置；+号表示添加该属性；－号表示清除该属性；
二：应用举例
        ①：给文件添加单个属性和清除属性
         1：attrib +h  c:\MyTxt.txt   //给c:\盘中的MyTxt.txt文本文件添加隐藏属性；
         2：attrib -h  c:\MyTxt.txt   //清除c:\盘中的MyTxt.txt文本文件的隐藏属性；
        ②：给文件添加多个属性和清除多个属性
         1：attrib +r +h  c:\MyTxt.txt   //给c:\盘中的MyTxt.txt文本文件添加只读属性和隐藏属性；
         2：attrib -r -h  c:\MyTxt.txt   //清除c:\盘中的MyTxt.txt文本文件的只读属性和隐藏属性；
         3：attrib +r +a +s +h  c:\MyTxt.txt   //给c:\盘中的MyTxt.txt文本文件添加只读属性、存档、系统和隐藏属性；
         4：attrib -r -a -s -h    c:\MyTxt.txt   //清除c:\盘中的MyTxt.txt文本文件的只读属性、存档、系统和隐藏属性；
        ③：给当前目录及所有子目录（文件夹本身）和所有文件添加属性
        1：attrib +r +h  /s  c:\test   //给c:\中的test目录及子目标和所有文件添加只读、隐藏属性；
        1：attrib +r +h  /d  c:\test   //给c:\中的test目录和所包含的文件添加只读、隐藏属性；
        知识扩展：
        可以使用attrib /? 命令来显示attrib的用法；

所以我这次用的命令attrib -r -a -h -s /s [path]

然后就搞定了！   :D