Sunday, August 31st, 2008
一句很小的命令
xcopy /y/e/c/k/i/d \\"更新主机\netgame$\梦幻西游" "f:\netgame\梦幻西游"
可以把一些常用的需要更新的内容放在脚本里(比如start.bat),通过开机加载运行脚本来完成常用内容的更新
再来一段VB加载壳(主要是方便日后改变运行脚本的内容,方便管理)保存下边代码为vbs文件(比如:s.vbs)
DIM objShell set objShell=wscript.createObject(”wscript.shell”) WScript.Sleep(10000) iReturn=objShell.Run(”cmd.exe /C \\server\start$\start.bat”, 0, TRUE)
然后添加到开始运行启动那个目录中,这样就可以在开机可以正常使用的同时后台更新啦(这段代码可以保证运行脚本的时候不显示黑色框框,表面上让使用主机的用户感觉不到在后台更新一些内容)。
关于xcopy的详细参数可以在cmd下使用xcopy /?查看 :)
另外说说为什么加入开始菜单启动目录而不是使用组策略的开机和用户登录里边:
主要是时间问题,
组策略中的开机脚本在用户登录之前运行,这里可以放一些删除常见病毒文件的脚本(比如删除根目录下的exe文件)要短;(这一道可以理解为攻击病毒)
组策略中的用户登录脚本,可以放一些绑定网卡等需要优先级不是很高的脚本;(这一道可以理解为防御病毒)
这两个过程不能停留时间长(要不会被误认为死机或者什么有问题的假象,虽然你很清楚到底出啦什么问题),所以把一些很常用但不是必须要完成的事情放到开始菜单启动目录中来加载运行。
至于关机注销那里脚本执行也是要有时间限制的,默认10分钟(不过感觉时间会很久呢,老半天不关机也不算很正常吧,除非你改啦默认时间,并且设定同步运行脚本,同时知道自己在做什么,那就再关机这段时间来运行你不得不运行的脚本吧(PS:这段时间也是受病毒干扰很少的时候))
另一个相关的利用脚本的介绍文章网吧批处理运用:http://clin003.com/netbar/netbar-bat-using-354.shtml
相关文章:
快速修改IP,管理面板,网站屏蔽批处理:http://clin003.com/netbar/ipconfig-pingbi-url-bat-352.shtml
批处理实现禁止运行指定程序的办法:http://clin003.com/technical-analysis/batch-achieve-a-ban-on-operation-procedures-specified-ways-543.shtml
arp欺骗和机器狗病毒简单免疫批处理脚本(bat):http://clin003.com/netbar/arp-deception-and-the-rogue-virus-immune-simple-batch-scripts-bat-422.shtml
使用批处理关联文件格式:http://clin003.com/netbar/batch-files-associated-with-the-use-format-381.shtml
Posted in 今日一点, 网吧经验谈 | No Comments »
Friday, January 18th, 2008
中病毒似乎没人管,我只知道看好自己有能力控制的网络系统没问题,尽量把由于控制内的系统问题导致网络阻塞的可能性降到最低。
对于处在同一局域网下的控制外的网络只好祈祷他能快点正常。 混乱的网络,有疑问不方便去取证。
360截获的arp记录:
2008-01-17 09:43:38 网关欺骗: 192.168.1.154 00-E0-00-AE-25-7B 1162
2008-01-17 11:32:49 网关欺骗: 192.168.1.154 00-E0-00-AE-25-7B 123
2008-01-17 11:49:14 网关欺骗: 192.168.1.154 00-E0-00-AE-25-7B F12 162
2008-01-17 11:49:14 网关欺骗: 192.168.1.1 00-E0-60-B5-1B-BD 6
2008-01-17 11:56:42 网关欺骗: 192.168.1.154 00-E0-00-AE-25-7B 547
2008-01-17 13:02:38 网关欺骗: 192.168.1.108 00-E0-60-B5-1B-AF B6 1719
2008-01-17 15:32:21 网关欺骗: 192.168.1.108 00-E0-60-B5-1B-AF B6 6
2008-01-17 15:33:23 网关欺骗: 192.168.1.127 00-E0-00-AA-20-52 D3 491
2008-01-17 ...
Posted in 网吧经验谈 | No Comments »
Saturday, January 12th, 2008
增加系统**
当机器狗刚出现时,就有人写出了相应的免疫批处理代码,如下:
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
按说,这段代码对于最早的机器狗病毒(10月17日之前)是管用的。机器狗病毒早期的确生成了pcihdd.sys文件.而且还修改了 userinit.exe文件。基于这两点出发,建立一个pcihdd.sys的目录,以及设置userinit.exe的访问权限是管用的。
然而,病毒作者很快发现了这一点。他迅速的在后期的版本中,也加入了批处理的内容。即对以上批处理作了个反向工程,解除设置的权限,删除免疫目录,还是修改userinit.exe文件,达到加载其它病毒木马的目的。
后来,为了防止目录被删掉,有些强人更是出怪招,在pcihdd.sys目录下再建个怪异的目录名,形如"ty.../"的目录。这个目录用批处理是可以建立的,但是不可删除。同样,建了这个目录,pcihdd.sys目录也就不可删除了。
在后期变种中,病毒不再使用pcihdd.sys的这文件为驱动,改成了其他的文件名,比如笔者今天发现的变种,驱动名就是comint32.sys..
这样子看来,基于文件名的防疫方式宣告失败。有人还在不停的建那些怪异目录,以图防疫机器狗病毒。可这样子下去,你的系统里为增添多少**目录?你最后,你自己也没法删除这些**,甚至不得不格式化硬盘。
封域名,封IP
早期机器狗病毒,可以通过简单的反汇编工具,找到相应的下载病毒的网址。后期的机器狗病毒变种,也可通过查看中毒机器的IE临时文件找到下载病毒的网址。
机器狗病毒被各种检测方式很快被找到了,其ip地址和域名也能被发现。于是,在服务器或路由器里封掉这些域名或IP,的确可以有效防治它。然而,恶梦不会因此而结束。据笔者自身封的IP和域名,目前加起来已多达三十多个。还不包括每天都要新的域名或IP被以各种方式发现出来。
ROS里脚本在无限的加长些,路由器里的列表也就无限的增长着。这样的日子,我们看不到尽头在哪儿。
两行批处理,问题看是搞定,但也治标不治本
随着对机器狗病毒研究的深入,大家都一致发现了问题的关键在于userinit.exe和usrinit.exe(后期变种)文件。基于这点出发,可以使用以下两个批处理搞定问题:
wmic process where name="userinit.exe" call terminate
wmic process where name="usrinit.exe" call terminate
这是批处理高手写的,果然非同反响。该代码的的意思是:当发现进程里有userinit.exe时,即关闭;当发现进程里有usrinit.exe时,也关闭。因为批处理在winlogon后运行,所以病毒刚启动,就被杀掉了。这样也就失去了下载其它病毒的机会。不过,缺点是它只运行一次。这两代批处理的基础上,加入了每秒检查进程,一发现即终止的vbs脚本:
do while(1)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList1 = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'userinit.exe'")
For Each objProcess1 in colProcessList1
objProcess1.Terminate()
Next
Set colProcessList2 = ...
Posted in Rootkit, 安全, 病毒学习, 网吧经验谈 | No Comments »
Friday, January 11th, 2008
首先 在把如下的复制,保存
DIM objShell
set objShell=wscript.createObject("wscript.shell")
WScript.Sleep(10000)
iReturn=objShell.Run("cmd.exe /C \\server\start$\start.bat", 0, TRUE)
在客户机建一个VBS文件(这是一个开机延时无黑框后台运行的脚本文件)
拖动到启动项里
开始-----程序---启动。OK 。客户机完工。。
在服务器上建立一个文件夹start,最好加上隐藏符。
这个文件夹将用来保存后续我们要用到的文件,
然后在文件夹下建立一个批处理文件start.bat
路径就是 \\server\start$\start.bat
OK,把下面你要用到的保存到start.bat文件中。
用不到的就不要复制了。注意修改适合你的路径。
@echo off
-------------------绑定本机IP与MAC
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set ...
Posted in 网吧经验谈 | 1 Comment »
Friday, January 11th, 2008
1。网刻完 固定准确自动修改 IP 机号 10秒内可以一次姓完成1000台机子
先找个工具 把你网吧所有的 MAC 扫描下来。
然后再 把保存起来 保存文件 mac.txt
然后把 MAC 和 IP 机号 排列好
如: 00-00-00-f2-4d-00 192.168.1.2 abc002
中间有空格
把所有的IP 按这样的排列就可以。
一般会懂一点点批处理的人都会看明白
下面回复看见代码:
回复后可见更多批处理代码
@echo off
@echo
color 1f
title *****************************************************************
@echo off
@Echo
@Echo ^⊙ ...
Posted in 网吧经验谈 | 2 Comments »