本文来说一说com1文件夹的问题,还有aux、com2、prn、con、nul等文件夹(windows保留字文件夹)的建立和删除:
昨天叙述一次失败的杀毒经历,虽然最终还是重装了事,但收获也是有的,不断学习才能不断进步。
第一个收获是一个关于com1的文件夹。这是在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下发现的:
<{A158698F-435B-CD34-FA34-59875412025A}><\\.\c:\com1\com1.dll>
注意这个\\.\c:\com1\com1.dll,格式很怪吧,我直接到c盘下找到它,想删除整个文件夹,但不行,不让删除,先删除里面的文件com1.dll也不行。看来病毒是用特殊方式保护自己了。
到网上查了下,原来com1是操作系统的保留字,如aux、com1、com2、prn、con、nul等,这些用作设备名的名称是不能用来作为文件夹的名称的,但2000/xp却有漏洞可以利用来建立以这些保留字命名的文件夹。
(注:98下我试过,这个方法是不行的,所以网上有人说98下怎样是不对的)
建立com1文件夹的方法就是在命令提示符窗口中(开始-运行-cmd打开命令提示符窗口)输入:
md c:\com1\
或
md c:com1\
总之要有后面的斜杠“\”,这样就会在c盘根目录下建立一个com1的文件夹,而且用普通方法是删除不了的,系统会失去响应。而要拷贝文件进入此目录,也是在命令行下输入:
copy a.dll \\.\c:\com1\com1.dll
这样就拷了一个文件进入该文件夹,还改名为com1.dll,这样不仅文件夹是用保留名,文件名也是保留名了,删除文件会提示找不到该文件。
而正确的删除方法是:
先删除里面的文件:
del \\.\c:\com1\com1.dll
再删除文件夹:
rd \\.\c:\com1
或
rd \\.\c:\com1\
或者
rd c:\com1\
这个利用漏洞的建特殊文件夹的方法与建带“..”名称的文件夹类似。
小提示:
如果实在用命令干不掉,就用冰刃(icesword)强制删除也可以干掉文件夹及里面文件。
======================
大千世界百杂碎。