什么是手動(dòng)查殺病毒技術(shù)

通過(guò)對(duì)目標(biāo)系統(tǒng)進(jìn)程春瞬、網(wǎng)絡(luò)連接狀態(tài)绎秒、隨機(jī)啟動(dòng)項(xiàng)目等信息的綜合分析與判斷，結(jié)合使用各種系統(tǒng)命令與工具手動(dòng)確認(rèn)病毒(木馬)與清除病毒的技術(shù)

為什么要學(xué)習(xí)手工病毒查殺技術(shù)

 殺毒軟件更新慢分飞，主要依賴于病毒庫(kù)的更新。黑客長(zhǎng)期對(duì)自己的后門(mén)示启、病毒進(jìn)行免殺處理濒析。
 有關(guān)免殺技術(shù)介紹：http://baike.baidu.com/view/706274.htm

當(dāng)病毒文件隱藏時(shí)我們就要借用ark系列工具

  創(chuàng)建鎖定123文件夾命令md 123../ 這種文件可以通過(guò)xuetr工具解鎖刪除

什么是ARK系列工具

 (Anti Rootkit kernel) 反內(nèi)核系列工具, 目前三大主流ARK系列工具有:冰刃(Ice Sword) Wsyscheck(Windows System Check)概漱、 XueTr 有關(guān)ARK詳細(xì)請(qǐng)參考以下資料：http://baike.baidu.com/link?url=zBXN9mRFw5Uxb12RG-2t1eip1qWfqREuztJSAHpB7ZaVTHIXwSjqnRutlruu6regB4HiWlouy40Dxr2BAvqZqK

apk工具優(yōu)勢(shì)

隨機(jī)啟動(dòng)項(xiàng)目在注冊(cè)表中的位置

 1）“啟動(dòng)”文件夾──最常見(jiàn)的自啟動(dòng)程序文件夾。
它位于系統(tǒng)分區(qū)的“documents and Settings－－>User－－>〔開(kāi)始〕菜單－－>程序”目錄下移剪。這時(shí)的User指的是登錄的用戶名究珊。

 2）“All Users”中的自啟動(dòng)程序文件夾──另一個(gè)常見(jiàn)的自啟動(dòng)程序文件夾。
它位于系統(tǒng)分區(qū)的“documents and Settings－－>All User－－>〔開(kāi)始〕菜單－－>程序”目錄下纵苛。前面提到的“啟動(dòng)”文件夾運(yùn)行的是登錄用戶的自啟動(dòng)程序剿涮，而“All Users”中啟動(dòng)的程序是在所有用戶下都有效（不論你用什么用戶登錄）。

3）“Load”鍵值── 一個(gè)埋藏得較深的注冊(cè)表鍵值攻人。
位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主鍵下取试。

4）“Userinit”鍵值──用戶相關(guān)
 它則位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主鍵下，也是用于系統(tǒng)啟動(dòng)時(shí)加載程序的怀吻。一般情況下瞬浓，其默認(rèn)值為“userinit.exe”，由于該子鍵的值中可使用逗號(hào)分隔開(kāi)多個(gè)程序蓬坡，因此猿棉，在鍵值的數(shù)值中可加入其它程序。

5）“Explorer\Run”鍵值──與“l(fā)oad”和“Userinit”兩個(gè)鍵值不同的是屑咳，“Explorer\Run”同時(shí)位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個(gè)根鍵中萨赁。它在兩個(gè)中的位置分別為（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。

6）“RunServicesOnce”子鍵──它在用戶登錄前及其它注冊(cè)表自啟動(dòng)程序加載前面加載兆龙。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下杖爽。

7）“RunServices”子鍵──它也是在用戶登錄前及其它注冊(cè)表自啟動(dòng)程序加載前面加載。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。

8）“RunOnce\Setup”子鍵──其默認(rèn)值是在用戶登錄后加載的程序掂林。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。

9）“RunOnce”子鍵──許多自啟動(dòng)程序要通過(guò)RunOnce子鍵來(lái)完成第一次加載坝橡。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下泻帮。位于〔HKEY_CURRENT_USER〕根鍵下的RunOnce子鍵在用戶登錄扣及其它注冊(cè)表的Run鍵值加載程序前加載相關(guān)程序，而位于〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在操作系統(tǒng)處理完其它注冊(cè)表Run子鍵及自啟動(dòng)文件夾內(nèi)的程序后再加載的计寇。在Windows XP中還多出一個(gè)〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子鍵锣杂，其道理相同。

10）“Run”子鍵──目前最常見(jiàn)的自啟動(dòng)程序用于加載的地方番宁。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下元莫。其中位于〔HKEY_CURRENT_USER〕根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動(dòng)，但兩個(gè)鍵值都是在“啟動(dòng)”文件夾之前加載蝶押。

11）再者就是Windows中加載的服務(wù)了踱蠢，它的級(jí)別較高，用于最先加載棋电。其位于〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下茎截，看到了嗎，你所有的系統(tǒng)服務(wù)加載程序都在這里了赶盔！

12）Windows Shell──系統(tǒng)接口它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字符串類(lèi)型鍵值中企锌，基默認(rèn)值為Explorer.exe，當(dāng)然可能木馬程序會(huì)在此加入自身并以木馬參數(shù)的形式調(diào)用資源管理器于未，以達(dá)到欺騙用戶的目的撕攒。 如(explorer.exe c:\1.exe)

13）BootExecute──屬于啟動(dòng)執(zhí)行的一個(gè)項(xiàng)目 可以通過(guò)它來(lái)實(shí)現(xiàn)啟動(dòng)Natvice程序，Native程序在驅(qū)動(dòng)程序和系統(tǒng)核心加載后將被加載烘浦，此時(shí)會(huì)話管理器(smss.exe)進(jìn)行windowsNT用戶模式并開(kāi)始按順序啟動(dòng)native程序它位于注冊(cè)表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面抖坪，有一個(gè)名為BootExecute的多字符串值鍵，它的默認(rèn)值是"autocheck autochk *"谎倔，用于系統(tǒng)啟動(dòng)時(shí)的某些自動(dòng)檢查柳击。這個(gè)啟動(dòng)項(xiàng)目里的程序是在系統(tǒng)圖形界面完成前就被執(zhí)行的，所以具有很高的優(yōu)先級(jí)片习。

 14）策略組加載程序──打開(kāi)Gpedit.msc捌肴，展開(kāi)“用戶配置——管理模板——系統(tǒng)——登錄”，就可以看到“在用戶登錄時(shí)運(yùn)行這些程序”的項(xiàng)目藕咏，你可以在里面添加状知。在注冊(cè)表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相對(duì)應(yīng)的鍵值。

15) windows映像劫持技術(shù)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 在此項(xiàng)下面新建--項(xiàng)(123.exe),再到123.exe項(xiàng)下面新建--字符串(取名叫:debugger),debugger字符串里面填寫(xiě)任意文件(如:c:\windows\system32\cmd.exe),最后打開(kāi)123.exe發(fā)現(xiàn)變成打開(kāi)cmd.exe了孽查。

木馬病毒可能存在的地方

Svchost.exe進(jìn)程的研究分析

【1】：服務(wù)對(duì)應(yīng)的二進(jìn)制文件可分為可執(zhí)行文件和DLL動(dòng)態(tài)鏈接庫(kù)文件兩類(lèi)饥悴。對(duì)于可執(zhí)行文件來(lái)說(shuō)，本身就是一個(gè)宿主程序，但是對(duì)于DLL動(dòng)態(tài)鏈接庫(kù)來(lái)說(shuō)不可以直接去執(zhí)行它西设，只有通過(guò)一個(gè)宿主程序來(lái)調(diào)用它來(lái)進(jìn)行執(zhí)行瓣铣。對(duì)于服務(wù)页屠，我們可以通過(guò)開(kāi)始——運(yùn)行——輸入“services.msc”進(jìn)入到服務(wù)笨使。我們就拿個(gè)最簡(jiǎn)單的Telnet服務(wù)來(lái)說(shuō)，右擊可以看到它所調(diào)用的文件就是C:\Windows\System32\tlnsvr.exe的可執(zhí)行文件祟辟，這種可執(zhí)行文件本身就是一個(gè)服務(wù)宿主程序禽绪，不需要調(diào)用DLL動(dòng)態(tài)鏈接來(lái)實(shí)現(xiàn)蓖救，如果該宿主文件不存在，或者文件名不對(duì)印屁，那么就無(wú)法啟動(dòng)Telnet服務(wù)了循捺。當(dāng)我們啟動(dòng)Telnet的時(shí)候，進(jìn)程中自然多出一個(gè)服務(wù)宿主程序的進(jìn)程雄人。而對(duì)于某些服務(wù)需要調(diào)用DLL動(dòng)態(tài)鏈接庫(kù)从橘，如果我們直接去運(yùn)行DLL動(dòng)態(tài)鏈接庫(kù)是無(wú)法直接執(zhí)行的，必須通過(guò)一個(gè)宿主程序來(lái)進(jìn)行調(diào)用執(zhí)行柠衍，經(jīng)常使用到的這個(gè)服務(wù)宿主程序就是Svchost.exe洋满。

【2】Svhost.exe，是大多數(shù)Windows服務(wù)的宿主程序珍坊。Svchost.exe程序就是一個(gè)用于加載服務(wù)對(duì)應(yīng)的二進(jìn)制文件為DLL的宿主程序牺勾。

【3】Svchost.exe一般位于%systemroot%\system32目錄里，如果啟用了DllCache功能阵漏，還可能備份在%systemroot%system32\dllcache目錄下驻民，另外，如果WindowsService Pack不是使用集成安裝的履怯，也就是不是集成SP補(bǔ)丁包的而是通過(guò)微軟更新的回还，那么還可能存在于%systemroot%\ServicePack目錄下。除此之外Svchost.exe不應(yīng)該存在其它目錄下叹洲，如果存在柠硕，那么這個(gè)Svchost.exe可能不是系統(tǒng)自帶的而是一種病毒等一些而已軟件生成的，請(qǐng)小心檢查运提。特別是一些木馬經(jīng)常使用這個(gè)程序來(lái)進(jìn)行偽裝運(yùn)行在內(nèi)存中蝗柔。

【4】Svchost.exe作為服務(wù)的宿主程序，在啟動(dòng)的時(shí)候民泵，通過(guò)以下方法來(lái)啟動(dòng)服務(wù)：系統(tǒng)啟動(dòng)的時(shí)候癣丧，系統(tǒng)讀取注冊(cè)表：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost下的鍵值，在這個(gè)分支下栈妆，有很多鍵值為REG_MULTI_SZ的鍵值胁编，也就是多字符串值厢钧，在該主鍵下每一個(gè)鍵值代表著一組服務(wù)。Svchost.exe的每個(gè)實(shí)例將執(zhí)行一個(gè)鍵值為REG_MULTI_SZ的鍵值嬉橙，舉例來(lái)說(shuō)早直，當(dāng)Svchost.exe開(kāi)始讀取netsvcs的時(shí)候，系統(tǒng)將創(chuàng)建一個(gè)svchost.exe的實(shí)例（在任務(wù)管理器里面呈現(xiàn)為進(jìn)行）來(lái)處理netsvcs鍵值的數(shù)據(jù)市框。所有在netsvcs里面描述的服務(wù)將運(yùn)行于一個(gè)svchost.exe進(jìn)程里面莽鸿，也就是說(shuō)，一個(gè)svchost.exe將處理所有netsvcs里面記錄的服務(wù)拾给。這就是所謂宿主的概念。不過(guò)有一點(diǎn)需要注意兔沃，如果有任何一個(gè)服務(wù)發(fā)生問(wèn)題蒋得，可能導(dǎo)致宿主程序svchost.exe的崩潰，甚至導(dǎo)致Windows崩潰乒疏。如果強(qiáng)制結(jié)束svchost.exe進(jìn)程额衙，那么這個(gè)宿主程序所啟動(dòng)的服務(wù)都將停止崩潰。

【5】在不停的系統(tǒng)中怕吴，svchost.exe的實(shí)例數(shù)目是不相同的窍侧。這是因?yàn)槲④泴⒉煌姆?wù)歸結(jié)到不同的svchost.exe實(shí)例中，在Windows Server 2003和XP下转绷，RpcSc（提供終結(jié)點(diǎn)映射服務(wù)RPC服務(wù)）服務(wù)就單獨(dú)的由一個(gè)svchost.exe實(shí)例負(fù)責(zé)伟件，這是為了保證不會(huì)由于其它服務(wù)的錯(cuò)誤而導(dǎo)致整個(gè)svchost.exe進(jìn)程錯(cuò)誤。而netsvcs中的幾十個(gè)服務(wù)卻也使用一個(gè)Svchost.exe實(shí)例來(lái)進(jìn)行負(fù)責(zé)议经，我們可以通過(guò)“tasklist /svc” 和注冊(cè)表中就可以輕易的看到斧账。

【6】我們可以這樣理解：如果有一個(gè)svchost.exe作為2和服務(wù)的宿主，其中一個(gè)是系統(tǒng)重要的服務(wù)A煞肾，如果A停止咧织，則整個(gè)系統(tǒng)就崩潰，而另外一個(gè)是服務(wù)B籍救，B不是一個(gè)重要的服務(wù)习绢，停止B不會(huì)引起整個(gè)系統(tǒng)的崩潰。如果某一天服務(wù)B發(fā)生異常蝙昙，導(dǎo)致B的宿主程序svchost.exe崩潰闪萄，那么也會(huì)導(dǎo)致服務(wù)A崩潰。從而導(dǎo)致系統(tǒng)崩潰耸黑。

 【7】一個(gè)svchost.exe作為幾個(gè)服務(wù)的宿主很重要的桃煎，也不要對(duì)自己的系統(tǒng)里面的svchost.exe實(shí)例數(shù)量為什么要比別人多，其實(shí)影響svchost.exe實(shí)例數(shù)量完全決定于你開(kāi)啟的服務(wù)的數(shù)量或者某些程序需要通過(guò)注入到該宿主服務(wù)中進(jìn)行啟動(dòng)大刊。如果某些不需要的服務(wù)可以停止掉以減少內(nèi)存的使用为迈，如果停止的一些服務(wù)都是包含于一個(gè)svchost.exe三椿，那么這個(gè)進(jìn)程就會(huì)不再啟動(dòng)，因?yàn)闆](méi)有服務(wù)需要這個(gè)實(shí)例進(jìn)行啟動(dòng)了葫辐。微軟之所以將那么多服務(wù)使用一個(gè)宿主程序來(lái)啟動(dòng)就是為了節(jié)省我們的系統(tǒng)資源搜锰。  

【8】要想知道我們進(jìn)程中的每一個(gè)Svchost.exe分別是啟動(dòng)了哪些服務(wù)，可以通過(guò)tasklist /svc查看每一個(gè)加載不同服務(wù)的svchost.exe的PID值耿战，并且在任務(wù)管理器查看——選擇列——勾選PID(進(jìn)程標(biāo)識(shí)符)蛋叼，這樣就可以很好的知道哪個(gè)svchost.exe是加載哪些服務(wù)的。

 【9】如何使用輔助工具判斷svchost.exe是否為偽造進(jìn)程呢剂陡？第一個(gè)就是判斷svchost.exe的所在的啟動(dòng)路徑狈涮，正常的路徑都是在C:\Windwos\System32下，第二個(gè)還是必須要大家的經(jīng)驗(yàn)鸭栖，也就是說(shuō)歌馍，你必須要熟悉一個(gè)正常系統(tǒng)的svchost.exe是啟動(dòng)了的哪些服務(wù)是正常的。

Windows其它木馬晕鹊、病毒加載項(xiàng)

1松却、在Win.ini中啟動(dòng) 
在Win.ini的[windows]字段中有啟動(dòng)命令“l(fā)oad=”和“run=”，在一般情況下“＝”后面是空白的溅话，如果有后跟程序晓锻，比方說(shuō)是這個(gè)樣子:run=c:\windows\file.exe     load=c:\windows\file.exe要小心了，這個(gè)file.exe很可能是木馬飞几。

2砚哆、在System.ini中啟動(dòng) 
System.ini位于Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所屑墨，木馬通常的做法是將該句變?yōu)檫@樣:shell=Explorer.exe window.exe窟社，注意這里的window.exe就是木馬程序。
另外绪钥，在System.ini中的[386Enh]字段灿里，要注意檢查在此段內(nèi)的“driver=路徑\程序名”，這里也有可能被木馬所利用程腹。再有匣吊，在System.ini中的[mic]、[drivers]寸潦、[drivers32]這三個(gè)字段色鸳，這些段也是起到加載驅(qū)動(dòng)程序的作用，但也是增添木馬程序的好場(chǎng)所见转。

3命雀、在Autoexec.bat和Config.sys中加載運(yùn)行
但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行斩箫，而且采用這種方式不是很隱蔽吏砂，所以這種方法并不多見(jiàn)撵儿，但也不能因此而掉以輕心哦。他會(huì)在里面加入這樣的命令:@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\  del c:\win.reg 

4狐血、在Winstart.bat中啟動(dòng)
 Winstart.bat是一個(gè)特殊性絲毫不亞于Autoexec.bat的批處理文件淀歇，也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成匈织，在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動(dòng)程序之后開(kāi)始執(zhí)行（這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式可得知）浪默。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行缀匕，危險(xiǎn)由此而來(lái)纳决。

5、啟動(dòng)組 
木馬隱藏在啟動(dòng)組雖然不是十分隱蔽乡小，但這里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所岳链，因此還是有木馬喜歡在這里駐留的。啟動(dòng)組對(duì)應(yīng)的文件夾為:C:\Windows\Start Menu\Programs\StartUp劲件，在注冊(cè)表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。

6约急、*.INI
即應(yīng)用程序的啟動(dòng)配置文件零远，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋同名文件厌蔽，這樣就可以達(dá)到啟動(dòng)木馬的目的了牵辣。

7、修改文件關(guān)聯(lián)
修改文件關(guān)聯(lián)是木馬常用手段（主要是國(guó)產(chǎn)木馬奴饮，老外的木馬大都沒(méi)有這個(gè)功能）纬向，比方說(shuō)正常情況下txt文件的打開(kāi)方式為Notepad.EXE文件，但一旦中了文件關(guān)聯(lián)木馬戴卜，則txt文件打開(kāi)方式就會(huì)被修改為用木馬程序打開(kāi)逾条，如著名的國(guó)產(chǎn)木馬冰河就是這樣干的⊥栋“冰河”就是通過(guò)修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值师脂，將“C:\Windows\Notepad.exe %1”改為“C:\Windows\System\SYSEXPLR.EXE %1”，這樣一旦你雙擊一個(gè)txt文件江锨，原本應(yīng)用Notepad打開(kāi)該文件的吃警，現(xiàn)在卻變成啟動(dòng)木馬程序了，好狠毒哦啄育！請(qǐng)大家注意酌心，不僅僅是txt文件，其他諸如HTM挑豌、EXE安券、ZIP墩崩、COM等都是木馬的目標(biāo)。對(duì)付這類(lèi)木馬完疫，只能檢查HKEY_CLASSES_ROOT\文件類(lèi)型\shell\open\command主鍵泰鸡，查看其鍵值是否正常。 

 8壳鹤、捆綁文件
實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接盛龄，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件芳誓，這樣即使木馬被刪除了余舶，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了锹淌。綁定到某一應(yīng)用程序中匿值，如綁定到系統(tǒng)文件，那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬赂摆。
當(dāng)發(fā)現(xiàn)可疑文件時(shí)挟憔，你可以試試能不能刪除它，因?yàn)槟抉R多是以后臺(tái)方式運(yùn)行的烟号，通過(guò)按Ctrl+Alt+Del是找不到的绊谭，而后臺(tái)運(yùn)行的應(yīng)是系統(tǒng)進(jìn)程。如果在前臺(tái)進(jìn)程里找不到汪拥，而又刪不了（提示正在被使用）那就應(yīng)該注意了达传。

我們可以通過(guò)

dir /ah         只查看隱藏文件
del /ah /f +運(yùn)行文件            刪除隱藏文件不需進(jìn)行確認(rèn)
 如果啟用了DllCache功能，還可能備份在%systemroot%system32\dllcache目錄下 我們必須先刪除備份隱藏文件在刪除文件