略施小计 简单巧妙删除特殊文件名木马

我们都知道，木马病毒的特点是隐蔽，一旦暴露了，那么用杀毒软件查杀一下就OK了，即使是某些比较顽固的木马病毒，最多也只要进入安全模式进行查杀即可。但是有一类木马病毒却不同，它们不仅具有木马病毒的隐藏特点，同时还极难清除。

　　为什么会这样呢，难道它们用了某些高深的技术?非也，这些木马病毒只是利用了Windows的一些“漏洞”，建立了一个特殊文件名的程序或文件夹，而在Windows中，我们是无法对其进行删除操作的。那么怎样才能将这些特殊文件名木马病毒清除干净呢?请看本文。

　　当然，有一些特殊的方法可以投机取巧，建立以这些设备名命名的文件夹。比如我们在“命令提示符”中执行“md C:aux”命令，就可以在C盘建了一个名叫aux的文件夹。这个aux文件夹虽然可以访问，也可以建立子文件夹，但却无法删除，因为Windows不允许以这种方式删除设备。

　　可见，木马病毒是利用了Windows的漏洞欺骗了系统，创建出特殊文件名文件。而杀毒软件作为Windows上的应用软件，也是遵循Windows的文件/文件夹命名规则的，这样就导致木马病毒可以长久驻留系统，即使杀毒软件发现了也无济于事。

▲在Windows中无法创建aux文件夹

　　那么黑客是如何将木马制作成特殊文件的呢?在了解了建立特殊文件夹的原理后，这就非常简单了。在“命令提示符”中输入命令：copy muma.exe .D:aux.exe并回车，这样就将muma.exe拷贝为了D盘的aux.exe文件，一个杀毒软件无法删除的特殊木马病毒就诞生了。

 ▲在DOS中创建特殊文件夹

　　事实上，用“系统保留字构建特殊文件夹防查杀”这招经常被黑客用于入侵网站服务器上。通常情况下，黑客入侵网站后，会在网站文件夹中通过“命令提示符”创建这样一个特殊文件名的webshell，例如“copy webshell.asp .D:wwwrootaux.asp“，并且通过命令为其加上“系统”和“隐藏”权限(在Windows中无法设置其属性)。这样的Webshell在服务器中是十分危险的，是网站站长的头号公敌。

　　知道了这种木马病的原理，我们清除起来就比较简单了，这里介绍两种方法：

　　1、找到木马病毒所处位置后，在“命令提示符”中输入如下命令：“del .C: empnul.exe”，其中“C: empnul.exe”为木马文件所在路径，回车后即可将木马文件删除。

　　2、新建一个记事本文档，输入：

　　del /f /a /q ?%1

　　rd /s /q ?%1

▲特殊文件夹无法在Windows中删除

　　保存后把文件的后缀名改为.bat，然后把不能删除的文件或者文件夹拖到bat文件上就可以了。