每个用户都或多或少的拥有一些不想让他人轻易看到的文件,许多初级用户都知道给文件加上“隐藏”属性让别人不会那么容易发现,但是这个招术对操作计算机的时间稍微长点的用户来说简直就是掩耳盗铃,因此,我们需要一种更强大的文件隐藏技术。
1.越危险的地方越安全?小议回收站隐藏文件
不知道什么时候开始,网络上开始流传一个非常另类的隐藏文件手段,操作形式如下:
首先进入命令提示符界面,输入attrib c:Recycled –h –r –s –a,回到Windows图形界面里的C盘,会看到出现一个Recycled目录,把欲隐藏的文件移动进去,然后再次进入命令提示符界面,输入attrib c:Recycled +h +s +r +a,回来就发现Recycled目录变成了回收站,双击进去并不能发现你的文件。
这个方法其实是利用desktop.ini的特殊作用实现的,其实现原理我们下面会讲到,但是,先不论其它作用和实际效果,就“回收站”这一特殊作用的目录而言,用它来隐藏文件其实是很危险的,回收站的原理是把用户“删除”的文件改名移动到每个硬盘根目录的Recycled目录下,并建立一个与之对应的索引文件,文件实体命名规则为“D[驱动器编号][序号].[原后缀]”,索引命名规则为“INFO[序号]”,例如删除一个位于C盘的Word文档,则回收站里的实际文件名可能为DC1.doc,对应索引为INFO2,回收站是保存这些临时文件的场所,用它来隐藏文件固然不会让人轻易怀疑,但是,即使排除一部分用户会无聊去删除掉Recycled目录的可能,仍然有许多垃圾清理工具会直接删除掉整个回收站目录,这些操作的后果就是你辛苦隐藏的文件只能通过数据恢复工具+运气来找回来了,因此我十分不推荐这个方法。
2.利用注册表“命名空间”实现的文件隐藏
这个方法其实是上面提到的“回收站隐藏文件”的真正实现原理,回收站只是通过内嵌的一个desktop.ini里的CLSID指向来让Recycled目录变成特殊文件夹的,实际上我们有更好的直接变身大法。
实际上,这是微软本身提供的一个功能,名字叫做 “外壳程序命名空间扩展”(Shell NameSpace Extersion),它是由“外壳程序实例对象”创建的接口,直接引用官方描述为:
外壳程序命名空间扩展允许您在外壳程序中创建“虚拟文件夹”。举例来说,桌面上的“回收站”图标并不是一个实际的文件系统目录,而是表示一个由“回收站”外壳扩展维护的项的集合。
换句通俗的话说,在Windows里,用户可以通过为某个文件夹进行特殊但不复杂的操作,使之不能被直接显示为原来文件夹的内容,例如,一个文件夹被用户加上了描述为“MP3文件”的命名空间扩展,那么用户会马上发现文件夹图标变成了MP3文件样式,并且在打开这个文件夹的时候就会发现系统为打开了音频播放器,而不是让你浏览到原来的内容,这是因为我们在Windows桌面上的所有操作都是通过外壳程序进行解释的,而微软的“外壳程序实例对象”就是为了更改这些操作的指向,“命名空间”(NameSpace)是通过注册表里的“HKEY_CLASSES_ROOTCLSID”进行定义的,例如“{20D04FE0-3AEA-1069-A2D8-08002B30309D}”代表“我的电脑”,这个文件夹当然是不会存在的,但是为了我们能方便的访问系统对象,系统借助命名空间的特性构造了一个“虚拟文件夹”,我们才得以看到“我的电脑”这个组件的存在。
纯理论的东西都是乏味的,但是只要亲自做个有趣的实验,你很快就会明白了:
?开启注册表编辑器REGEDIT,搜索“HKEY_CLASSES_ROOTCLSID”的关键字“我的电脑”,会发现找到“{20D04FE0-3AEA-1069-A2D8-08002B30309D}”这样的项目,这就是“命名空间”的面目,把它的名字复制下来
随便找个地方新建一个文件夹,名称随便改,例如“小金的电脑”,然后往里面复制几个文件,双击确认能直接进入查看文件夹内容
现在对这个文件夹进行重命名,在原来的名字后面打个英文小数点,再跟上刚才得到的“命名空间”字符串,现在这个文件夹的名字应该是这样的:“小金的电脑. {20D04FE0-3AEA-1069-A2D8-08002B30309D}”,现在按回车,会发现文件夹名称居然没有改变,但是图标变成了“我的电脑”
?现在双击进去,告诉我,你看到的是什么地方?
另一种方法是使用desktop.ini实现“命名空间”的指向,在任意文件夹里建立一个文件“desktop.ini”,内容如下:
[.ShellClassInfo]
CLSID= {20D04FE0-3AEA-1069-A2D8-08002B30309D}
然后更改文件夹属性为“系统”,你会发现它的效果和上面的方法一样的。
到这里,大家都看明白了吧,只要把小数点后的字符串改为任何能在注册表的“HKEY_CLASSES_ROOTCLSID”里找到的“命名空间”字符串,就能把某个文件夹变成特殊空间的入口了,说白了,这个方法就是利用“外壳程序命名空间扩展”的功能实现的文件隐藏,因为任何直接打开文件夹的操作都会被外壳程序给指向特殊目录去。
但是这个方法的弊端是,在命令提示符下它将暴露无遗,因为命令提示符并不通过外壳程序来操作文件,同样,混淆视听者自己要浏览文件的方法也是通过命令提示符进入的。
另外,这个方法显然不能骗过3种人:知道命令提示符操作的用户、明白“外壳程序命名空间扩展”是什么回事的用户,还有阅读并理解了这篇文章的读者们。因此,我们需要更高级的文件隐藏手段,这一次,我们不得不借助于第三方力量了。
3.利用内核驱动实现的文件隐藏
既然广大用户有“隐私”的需求,自然就会有相应的市场产生,各种各样的文件隐藏工具也诞生了,其中一个主流的原理就是利用文件系统驱动这一经常被Rootkit后门用来隐藏自己文件实体的方法,达到隐藏文件的目的,由于它是使用驱动进驻内核空间拦截了相关的文件操作API,阻止了系统对某些文件和目录的浏览,这样就达到了文件隐藏的功能,这一方法的好处是无论用户在图形界面还是命令提示符里都无法直接看到被隐藏的文件,因为它们的文件列表产生于同一个内核,同时用户可以对隐藏对象进行密码控制,而且由于它是直接从内核传递的途径上直接隐藏的,即使第三方知道了文件名,他也无法通过直接输入文件名的方法得到其内容。
这类工具已经遍地开花了,比较常见的有Hide Folders、文件加密大师等。
保护隐私,你准备好了吗?
经过几天的调查,警方的技术人员掌握了某电脑维修公司的维护员恶意安装偷窥木马、复制客户敏感信息并加以传播的证据,并对其进行了法律的制裁,这一案件总算得以比较完好的结束。
但是现实中,你我的身边,许许多多的网络安全和隐私泄漏事件正在不断发生,面对这个不太安宁的网络,你做好准备了吗? |
