關於com1.{21ec2020-3aea-1069-a2dd-08002b30309d}的東東

機器裏有個G:\RECYCLER\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}的文件，一點就打開了控制面板，想刪又刪不掉，以爲是個病毒，上網一搜，張了個大見識。現把相關資料整理如下：

他們是利用WINDOWS命名漏洞等建立的特殊文件或文件夾。可以用iceword刪除。

下面介紹對他們的其他操作及原理：

0， 相關dos命令

/? 任何一個dos命令後加該參數表示查看幫助，最常用的命令！！

md 建立文件夾；可以建立多層目錄下的文件夾，比如 mkdir \a\b\c\d 。

copy 複製文件

xcopy 複製文件和目錄樹

rd 刪除文件夾，參數/s表示刪除目錄樹，即包括子文件夾和文件；/q表示不用確認

del 刪除文件，可以使用通配符。/f強制刪除只讀文件，/q表示不用確認

在刪除命令後面跟上.參數就可以避免Windows檢查文件名的合法性，

因此可以刪除含有Windows保留字或非法名字的文件。

dir /X 顯示爲非 8dot3 文件名產生的短名稱。

以下均假設當前目錄爲在D盤根目錄,在命令行窗口輸入D:回車即可

UNC 路徑格式，就是網上鄰居的路徑格式，比如d:\temp的UNC 路徑爲\\.\d:\temp

1，利用Windows以設備命名文件夾拒絕服務漏洞

新建以下這些名字的文件（或文件夾）：aux、com1、com2、prn、con、nul，系統會提示無法建立。

我們可以在命令行窗口中建立，然後將文件copy進去，這樣，文件打不開也刪不掉。

實現過程：

在MS-DOS窗口的命令行提示符下，通過"cd"命令進入到要創建文件夾所在的目錄，

之後在DOS命令行下再輸入字符串命令"md+設備名+\"，單擊回車鍵後，

在指定目錄下一個名稱爲設備名的特殊文件夾就出現了。

考慮到設備文件夾在Windows狀態下是不能被刪除的，爲此善於使用設備文件夾，

我們有時能可以用它來保存一些重要的信息，以防止這些信息被他人隨意刪除掉。

對於含有保留字的文件，當我們發出刪除指令的時候，Windows會檢查被刪除的文件是否有合法的路徑，如果你的文件名含有Windows認爲的非法字符或保留字，那麼刪除就會失敗。
有3種方法可以刪除這類文件:

a)採用Linux或其他非Windows的操作系統，以Linux/Unix爲例,可以使用rm命令刪除.

b)使用命令行工具的一個特殊參數解決：

RD. 設備名\

DEL.文件名

c)對於文件，如果可以使用通配符，那麼也可以採用通配符解決：

DEL PR?.*

DEL LPT?.*

d)要刪除d盤下的 aux 文件夾，可在命令提示符下執行：rd /s \\.\d:\aux。

再比如要刪除d盤temp文件夾下的 nul.exe 文件，在命令提示符下執行：del \\.\d:\temp\nul.exe 即可。

2，利用WINDOWS命名漏洞命名的文件, 比如test.，即文件最後有一個點.

建立這個文件的話可以用 md test..\

也可以新建一個test，然後用WINRAR改test爲test..\

這個文件夾雙擊無法打開，但是可以在運行窗口輸入 d:\test..\ 進入，進入後可進行文件的各項操作。

刪除的話用 rd /s /q test..

如果test.是文件的名字，那麼刪除要用 del /f /q test..\

3.名爲空的文件夾.這裏所說的空名文件夾，主要指的是文件夾名稱爲空白，具體地說就是文件夾的名稱爲空格字符，這類特殊文件夾不僅可以在MS-DOS窗口中被正常訪問，而且還可以在Windows窗口中被訪問到，甚至我們能借助WinZip之類的壓縮工具來對其進行壓縮或解壓縮操作。

(1)建立使用 md "\test\ \"

這時可以看到D盤根目錄下的test文件夾下多了一個沒有名字的文件夾，雙擊可以打開，也可以在運行中輸入D:\test\ \

可以在裏面建立文件或者刪除文件。

刪除用 rd "D:\test\ \"

(2)在MS-DOS窗口的命令行提示符下，

通過"cd"命令進入到要創建空白文件夾所在的目錄，

之後在DOS命令行下再輸入字符串命令"md+空格"，緊接着按下鍵盤上的Alt功能鍵，同時在數字小鍵盤上直接輸入數字"255"，這樣一來空格字符的ASCII碼就會自動出現在"md"命令之後，單擊回車鍵後，在指定目錄下一個名稱爲空白的特殊文件夾就出現了。善於使用空白文件夾，可以將一些重要的隱私信息隱藏其中，從而實現保護隱私安全的目的。

4.長文件名或非法字符導致文件或文件夾無法刪除

可以暫時把路徑中某些目錄改名字， 或在命令行模式下使用8.3格式。

例如，"Linux Faq"的目錄變成8.3就是"LINUXF~1"了，通過"Linuxf~1"就能進入目錄了，

此後就可以使用Del命令刪除指定文件了。如果需要刪除目錄，則使用Rd命令。

也可以進入要刪除文件的目錄後輸入"dir>del.bat"，把當前目錄的文件列表輸入到批處理命令文件"del.bat"中，

然後修改該批命令文件，僅保留文件或目錄名，並在文件或者目錄名稱前增加"del "或者"rd"，運行批處理命令即可刪除。

（經常有rar文件無法解壓，改個文件名後就可以了）

還有一種方法，就是利用windows目錄長度不能超過256字節的特性，可以利用subst命令將

一長度達到256字節的目錄映射爲虛擬盤："subst b: testtesttesttesttesttesttes…………………………"。

然後在虛擬出來的b:中建立一個長文件名目錄"testtesttesttestte…………"，然後將一可執行文件copy到該

路徑下，去掉虛擬盤符映射："subst b: /d"，這樣用資源管理器是無法進入該目錄的，殺毒軟件也無法掃描

該路徑下的文件，而且在資源管理器中是無法刪除該目錄的，但可以使用8.3文件格式來運行該可執行文件：

"c:\testte~1\testte~1\test.exe"，從而達到隱藏的目的。

5.改文件名稱，系統自身帶有很多的CLSID。用的就是它了.

eg：要隱藏的文件名爲 a，則把它改成 a.{CLSID} 這裏的CLSID有很多，如下只是一部分：

文件名.{00020810-0000-0000-C000-000000000046} excel文檔

文件名.{00020900-0000-0000-C000-000000000046} word

文件名.{5ef4af3a-f726-11d0-b8a2-00c04fc309a4} 回收站(滿)

（這3個只是文件夾圖標變了,打開後還是隱藏不了,原形畢露。）

文件名.{2227a280-3aea-1069-A2de-08002b30309d} 打印機

文件名.{21ec2020-3aea-1069-A2dd-08002b30309d} 控制面板

文件名.{208d2c60-3aea-1069-A2d7-08002b30309d} 網上鄰居

文件名.{992cffa0-F557-101a-88ec-00dd010ccc48} 撥號上網

文件名.{1a9ba3a0-143a-11cf-8350-444553540000} 收藏夾

（比較特別,雙擊打不開,用右鍵盤第2個"打開"就行了... ）

文件名.{0CD7A5C0-9F37-11CE-AE65-08002B2E1262} 該名之後目錄爲空

文件名.{645FF040-5081-101B-9F08-00AA002F954E} 回收站(空)

文件名.{20D04FE0-3AEA-1069-A2D8-08002B30309D} 我的電腦

（這一辦法也是比較普通的...）

或者在需要隱藏的文件夾裏建立desktop.ini文件也可以達到效果 ,

把下面的批處理保存爲.bat文件,在要隱藏的文件裏執行就可以了:

@echo off

echo [.ShellClassInfo]>desktop.ini

echo CLSID={645FF040-5081-101B-9F08-00AA002F954E}>>desktop.ini

REM 改進後有些地方如有空格的地方也可以用所以加上"號

attrib +s +h "%cd%"

rem 其實只要將上面加上隱藏就可以了不用將下面這行隱藏

attrib +s +h desktop.ini

echo cacls %cd% /t /c /e /g %username%:f>..\恢復隱藏.bat

echo attrib -s -h %cd%>>..\恢復隱藏.bat

cacls %cd% /t /c /e /p %username%:n

原理就是同上面的重命名差不多...

======================================================

下面舉一個具體的例子,引用別人的：

最近使用了一款名叫 高強度文件夾加密大師，網上有強人用winrar也把它破了，在這就不說了

該軟件利用的是windows的一個文件名漏洞，即windows不能刪除com1.…… 和以"."最後等命名的文件夾（這種文件夾名字只有在dos 模式才能創建，而且不是常規方式md c:\xxx..\ 注意最後的"\"。com1文件夾的創建方法，"md \\.\c:\com1"，刪除輸入"rd \\.\c:\com1"；）。即，這哪是加密 只是簡單得把"加密"的文件或文件夾放到以着種名字命名的文件夾下面

不小心把加密數據刪除掉了，數據沒了好辦，用finaldata打開那個假的回收站就有了。可是

留下個隱藏的Th…….db文件夾，打開後是-sys文件夾-然後是com1.{21ec2020-3aea-1069-a2dd-08002b30309d}文件夾，該文件夾用的是控制面板的圖標。（因爲{}中的windows中的地址

打印機.{2227A280-3AEA-1069-A2DE-08002B30309D}

控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}

我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

回收站.{645FF040-5081-101B-9F08-00AA002F954E}

於是雙擊該文件夾便打開了控制面板，但地址欄中顯示的是該com1.{21ec2020-3aea-1069-a2dd-08002b30309d}文件夾的地址。

1、 com1.{21ec2020-3aea-1069-a2dd-08002b30309d}這個文件夾是關鍵，利用了一個WINDOWS的漏洞，即使用 AUX,COM1,COM2,PRN,CON,NUL爲文件名建立的文件(夾)，即不能打開也不能刪除。所以程序會將待加密的文件複製到此文件夾中，使其無法訪問和刪除，此其一；

2、在最後一級目錄中有一個文件錄名稱爲《 XXX.》，請注意文件名後的《.》，當建立的文件夾名稱包含這個小點後，同樣，該文件錄即不能打開，也不能刪除，LZ把它放在這裏應該是爲了保險起見，或者出於其它目的，俺還不太確定，此其二；

3、 com1.{21ec2020-3aea-1069-a2dd-08002b30309d}裏{}內的ID爲控制面板，RECYCLED爲程序自動建立的文件夾，中有desktop.ini文件以及{645FF040-5081-XXXX-9F08-00AA002F954E}文件夾，其作用都是爲了將文件錄僞裝成回收站，此其三。

知道了原理只能算是半途，因爲刪除會報錯windows中刪除會出現地址不存在的錯誤

而DOS下 rd d:\ XXX\com1.{21ec2020-3aea-1069-a2dd-08002b30309d} 也不行

然後是rd D:\XXX\ 目錄非空，不行。接着用 rd /s D:\XXX\ 提示是否刪除，輸入Y，回車。

報錯，程序正被使用……。這步就是關鍵了打開任務管理器 ，結束explorer.exe進程！

再次Y，回車。OK了。