一、文件伪装
1、利用对象属性修改
查看文件的创建时间、修改时间、上次访问时间:
(ls "C:\temp\test.exe").CreationTIme
(ls "C:\temp\test.exe").LastWriteTime
(ls "C:\temp\test.exe").LastAccessTime
修改文件的创建时间、修改时间、上次访问时间:
(ls "C:\temp\test.exe").CreationTIme = "2020年12月12日12:12:12"
(ls "C:\temp\test.exe").LastWriteTime = "2020年12月12日12:12:12"
(ls "C:\temp\test.exe").LastAccessTime = "2020年12月12日12:12:12"
2、利用cmdlet命令修改
查看文件属性信息,包括文件的创建时间、修改时间、上次访问时间:
Get-ItemProperty -Path "C:\temp\test.exe" | Format-list -Property *
修改文件的创建时间、修改时间、上次访问时间
Property -Path "C:\temp\test.exe" -Name CreationTIme -Value "2011-11-11 11:11:11"
Set-ItemProperty -Path "C:\temp\test.exe" -Name LastWriteTime -Value "2011-11-11 11:11:11"
Set-ItemProperty -Path "C:\temp\test.exe" -Name LastAccessTime -Value "2011-11-11 11:11:11"
二、文件隐藏
上传后利用attrib命令改变文件属性,命令格式:
attrib [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
+ 增加属性
- 减少属性
R 只读文件属性
A 存档文件属性
S 系统文件属性
H 隐藏文件属性
/S 处理当前文件夹及其子文件夹中的匹配文件
/D 也处理文件夹
例如在C:\temp目录上传工具test.exe,将其目录及其文件隐藏命令:attrib +r +a +s +h C:\temp\test.exe & attrib +r +a +s +h C:\temp,如果要将其删除,先要将其恢复然后再删除:attrib -r -a -s -h C:\temp & rmdir C:\temp /s /q
三、文件擦除
对于敏感文件和工具,不能用常规的删除命令,因为常规删除的文件会进入回收站,易留下痕迹,而且在磁盘空间未覆盖情况下可以用数据恢复软件恢复,以下这些命令更加安全高效:
1.命令行Del/Erase删除
永久删除文件,不会经过回收站,但是没有覆盖,用数据恢复软件仍有恢复可能。
2.Cipher擦除覆写
cipher /W:directory:从整个卷上可用的磁盘空间中覆写数据,从而覆盖已删除文件的硬盘空间,这样之前删除的数据顶多能够恢复文件名,但是恢复数据几乎是不可能的。
例如刚删除工具C:\temp\test.exe,然后执行cipher /W:C,这样C盘上的空余空间就会被覆写三轮,分别是0x00、0xFF、随机数,覆写需要一段时间,这取决于C盘空余空间的大小。
3.Format格式化覆写
format volume /P:count:将volume卷上每个扇区清零,此后该卷将被改写count次,且每次使用不同的随机数。
例如format D: /P:10表示把D盘用随机数格式化后再覆写10次。
浙公网安备 33010602011771号