用批处理记录黑客的行踪

etcat · 发表于 2010-5-31 16:20:01


	对于批处理文件，你可以把它理解成批量完成你指定命令的文件，它的扩展名为 .bat 或 .cmd，只要在文本文件中写入一些命令，并把它保存为.bat 或 .cmd格式，然后双击该文件，系统就会按文本文件中的命令逐条执行，这样可以节省你许多的时间。编写批处理文件：打开记事本，然后输入如下命令： @echo off date /t >>d:\3389.txt attrib +s +h d:\3389.bat attrib +s +h d:\3389.txt time /t >>d:\3389.txt netstat -an \|find "ESTABLISHED" \|find ":3389" >>d:\3389.txt 然后把文件保存为d:\3389.bat。命令解释： 1）“date”和“time”：用于获取系统时间的，这样可以让你知道黑客在某天的某个时刻入侵。 2）“attrib +s +h d:\3389.bat”和“attrib +s +h d:\3389.txt”：这两个命令是用来隐藏3389.bat和3389.txt这两个文件的，因为在登录时，由于会启动d:\3389.bat这个文件，所以会有一个CMD窗口一闪而过，有经验的黑客应该能判断出这窗口是记录用的，所以他可能会到处找这个记录文件，用了以上两个命令后，即使他用系统自带的搜索功能以3389为关键字进行搜索，也找不到上面3389.bat和3389.txt这两个文件！ 3）“netstat -an \|find "ESTABLISHED" \|find ":3389" >>d:\3389.txt”：记录通过终端的连结状况的！接下来我们要让系统启动时自动运行d:\3389.bat这文件，我用的方法是修改注册表，依次展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”这个键值，这个键值默认为c:\WINNT\system32\userinit.exe，不知你注意到没有，在最后有一个逗号，我们要利用的就是这逗号，比如我上面写的3389.bat文件路径为d:\3389.bat，那么我只要在逗号后面加上“d:\3389.bat”即可，这样启动时3389.bat这文件就会运行，选这个键值的原因是因为它隐蔽，如果是加在Run键值下的话是很容易被发现的,提醒一点，键值末尾的逗号别忘了加上去！

微信扫一扫分享朋友圈

用批处理记录黑客的行踪

相关帖子

微信扫一扫 分享朋友圈

用批处理记录黑客的行踪

相关帖子

微信扫一扫分享朋友圈