今天朋友维护的网站被人挂马了，百度及Google搜索会发现枪*支等关键词，查了很长时间都没有找到原因，让小弟帮忙查了一下，最终发现服务器遭遇了驱动级的文件隐藏，以前我也没有遇到过，记录一下，分享给有需要的朋友。

现象：

通过百度及Google搜索发现网站N多页面被收录为枪*支页面，访问后发现URL中存在hark.asp，URL类似下面的。

http://www.xxxx.net/hark.asp?t5U2/4fzjWz.html

分析：

1、服务器使用文件查找hark.asp 未查找到文件。

2、检测了第三方js未发现hark.asp。

3、检查了CSS等，未发现跳转代码。

4、使用阿D及安全狗，未发现shell，安全狗发现挂马，但是是误报的。

最后问了群友，说有可能是中了驱动级的文件隐藏来实现黑帽SEO的，有如下特征：

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

一查，果然是有的，如下图：

此驱动级隐藏文件会在服务项增加一个xlkfs的服务

驱动文件路径为：c:\WINDOWS\system32\drivers\xlkfs.sys

配置文件路径为：c:\WINDOWS\xlkfs.ini

清理：

1、查询服务状态：

sc qc xlkfs

2、停止服务：

net stop xlkfs

服务停止以后，经驱动级隐藏的文件即可显现，终于找到了hark.asp

3、删除服务：

sc delete xlkfs

4、删除系统目录下面的文件。

5、重启系统，确认服务已经被清理了。

最后感谢提供帮助的小伙伴们：@HST-SEC-NEW 小姜,Feel,viki 等大牛。

参考文章：

http://lcx.cc/?i=2416