批处理的高级运用技巧
作者 佚名
来源 批处理
浏览
发布时间 2013-07-09
| 出结果的重定向到特定文件中,>与>>的区别在于,>会清除调原有文件中的内容后写入指定文件,而>>只会追加内容到指定文件中,而不会改动其中的内容。 sample1: echohelloworld>c:\hello.txt(stupidexample?) sample2: 时下DLL木马盛行,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录: 运行CMD--转换目录到system32--dir*.exe>exeback.txt&dir*.dll>dllback.txt, 这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中, 日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了. 这时我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行: CMD--fcexeback.txtexeback1.txt>diff.txt&fcdllback.txtdllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DEL掉,先用regsvr32/utrojan.dll将后门DLL文件注销掉,再把它移到回收站里,若系统没有异常反映再将之彻底删除或者提交给杀毒软件公司。 3.<、>&、<& <从文件中而不是从键盘中读入命令输入。 >&将一个句柄的输出写入到另一个句柄的输入中。 <&从一个句柄读取输入并将其写入到另一个句柄输出中。 这些并不常用,也就不多做介绍。 No.5 五.如何用批处理文件来*作注册表 在入侵过程中经常回*作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表*作有一定的了解。下面我们就先学习一下如何使用.REG文件来*作注册表.(我们可以用批处理来生成一个REG文件) 关于注册表的*作,常见的是创建、修改、删除。 1.创建 创建分为两种,一种是创建子项(Subkey) 我们创建一个文件,内容如下: WindowsRegistryEditorVersion5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker] 然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“hacker”的子项。 另一种是创建一个项目名称 那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下: WindowsRegistryEditorVersion5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Invader"="Ex4rch" "Door"=C:\\WINNT\\system32\\door.exe "Autodos"=dword:02 这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下 新建了:Invader、door、about这三个项目 Invader的类型是“Stringvalue” door的类型是“REGSZvalue” Autodos的类型是“DWORDvalue” 2.修改 修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后导入(regedit/s)即可。 3.删除 我们首先来说说删除一个项目名称,我们创建一个如下的文件: WindowsRegistryEditorVersion5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ex4rch"=- 执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了; 我们再看看删除一个子项,我们创建一个如下的脚本: WindowsRegistryEditorVersion5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Micros |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: 关于shell命令的定向输出 2>&1下一篇: ping命令的小秘密
关于批处理的高级运用技巧的所有评论
