巧用批處理記錄黑客行蹤    熱     ★★★ 【字體：小 大】 
 
  
   
   
 巧用批處理記錄黑客行蹤 
 
作者：未知 文章來源：華盟收集 點擊數：2997 更新時間：2006-7-15 
 
 
寫個批處理記錄黑客行蹤
　　1.認識批處理
　　對于批處理文件，你可以把它理解成批量完成你指定命令的文件，它的擴展名為 .bat 或 .cmd，只要在文本文件中寫入一些命令，并把它保存為.bat 或 .cmd格式，然后雙擊該文件，系統就會按文本文件中的命令逐條執行，這樣可以節省你許多的時間。
　　2.編寫批處理文件
　　打開記事本，然后輸入如下命令：
　　@echo off
　　date /t >>d:\3389.txt
　　attrib +s +h d:\3389.bat
　　attrib +s +h d:\3389.txt
　　time /t >>d:\3389.txt
　　netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt
然后把文件保存為d:\3389.bat，這里我解釋一下命令的意思，date和time是用于獲取系統時間的，這樣可以讓你知道黑客在某天的某個時刻入侵。“attrib +s +h d:\3389.bat”和“attrib +s +h d:\3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的，因為在登錄時，由于會啟動d:\3389.bat這個文件，所以會有一個CMD窗口一閃而過，有經驗的黑客應該能判斷出這窗口是記錄用的，所以他可能會到處找這個記錄文件，用了以上兩個命令后，即使他用系統自帶的搜索功能以3389為關鍵字進行搜索，也找不到上面3389.bat和3389.txt這兩個文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個命令則是記錄通過終端的連結狀況的，明白了吧！
接下來我們要讓系統啟動時自動運行d:\3389.bat這文件，我用的方法是修改注冊表，依次展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”這個鍵值，這個鍵值默認為c:\WINNT\system32\userinit.exe，不知你注意到沒有，在最后有一個逗號，我們要利用的就是這逗號，比如我上面寫的3389.bat文件路徑為d:\3389.bat，那么我只要在逗號后面加上“d:\3389.bat”即可，這樣啟動時3389.bat這文件就會運行，選這個鍵值的原因是因為它隱蔽，如果是加在Run鍵值下的話是很容易被發現的。最后提醒一點，鍵值末尾的逗號別忘了加上去哦！