第一题
驱动级文件隐藏
此驱动级隐藏文件会在服务项增加一个xlkfs的服务
驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys
配置文件路径为:c:\WINDOWS\xlkfs.ini
解题思路:
连接上服务器,先搜索SEO找到seo文件夹路径,在C:\Inetpub\wwwroot\seo,打开这个路径并没有seo这个文件夹,在工具->文件夹选项中显示隐藏文件无效,根据提示和百度得知是驱动级文件隐藏,特征为系统目录下存在如下文件:
C:\WINDOWS\xlkfs.dat
C:\WINDOWS\xlkfs.dll
C:\WINDOWS\xlkfs.ini
C:\WINDOWS\system32\drivers\xlkfs.sys
查询服务状态:
sc qc xlkfs
停止服务:
net stop xlkfs
或者
删除服务:
sc delete xlkfs
发现seo文件夹出现了
