怎样让批处理进程用普通方法杀不掉？

start

当其他的程序关闭你的批处理的时候。你的批处理能知道这种情况的发生

有能达到这样的效果的命令吗！！！期待中..........

[ 本帖最后由 start 于 2008-8-21 22:03 编辑 ]

523066680

大哥大 一来就发这种题目……直教人吐血。批处理史上最顽强的病毒版，即将问世，
我能做的就是看着问世。o my god！

pusofalse

1. @echo off&setlocal enabledelayedexpansion&title Test
   
2. for %%a in ("%cd%.tmp") do set dir=%%~dpa
   
3. for /f "tokens=2" %%a in ('tasklist /fi "imagename eq cmd.exe" /nh') do set pid=%%a&goto next
   
4. :next
   
5. echo @echo off>%temp%\youjun.bat
   
6. echo :loop>>%temp%\youjun.bat
   
7. echo set zhujunpid=>>%temp%\youjun.bat
   
8. echo for /f "tokens=2" %%%%a in ^('tasklist /fi "pid eq %pid%" /nh') do set "zhujunpid=%%%%a">>%temp%\youjun.bat
   
9. echo if not defined zhujunpid ^(>>%temp%\youjun.bat
   
10. echo         echo 被关闭时间是在 [%%date%%]   [%%time%%]^>"%dir%关闭时间.txt">>%temp%\youjun.bat
    
11. echo         start "" "%dir%关闭时间.txt">>%temp%\youjun.bat
    
12. echo>>%temp%\youjun.bat         start %~fs0
    
13. echo         echo had^>%temp%\had.tmp>>%temp%\youjun.bat
    
14. echo         exit>>%temp%\youjun.bat
    
15. echo ^)>>%temp%\youjun.bat
    
16. echo goto loop>>%temp%\youjun.bat
    
17. :lp
    
18. start /min %temp%\youjun.bat
    
19. :loop
    
20. set n=0
    
21. for /f %%a in ('tasklist /fi "imagename eq cmd.exe" /nh') do cls&set/a n+=1
    
22. if %n% leq 2 goto lp
    
23. if not exist %temp%\had.tmp (
    
24.         title 这只是测试ing。。。o^(∩_∩^)o。。。
    
25.         ) else (
    
26.         title 我又复活了。。。o^(∩_∩^)o。。。
    
27.         if %n% gtr 4 (
    
28. del %dir%关闭时间.txt;%temp%\had.tmp;%temp%\youjun.bat
    
29. pause>nul
    
30.        )
    
31. )
    
32. for /l %%a in (1 1 400) do cls>nul
    
33. goto loop

复制代码

现在的代码只能完成前面两种情况。在kill cmd.exe之后仍能复活，恐怕BAT的确做不到了。
起初的代码在结束“友军”之后就全部OVER了，现在结束“友军”之后“主军”仍能复活，除非全部kill。

[ 本帖最后由 pusofalse 于 2008-8-22 01:07 编辑 ]

dishuo

努力思考中....
非常期待楼主的"如此简单"的解.

SmallK

鸭子就是鸭子，永远也变不成天鹅！批处理到底就是批处理啊……希望我们的技术精英们能让批处理来个脱胎换骨！呵呵……

[ 本帖最后由 SmallK 于 2008-10-10 00:49 编辑 ]

SmallK

真心地祝你成功！希望我的方法能帮上你~~

pusofalse

试过了，同样是显示cmd.exe

SmallK

哎……看来现实总是太残忍！………………

[ 本帖最后由 SmallK 于 2008-10-10 00:50 编辑 ]

flyinspace

1. @echo off & SetLocal EnableDelayedExpansion
   
2. 
   
3. set "self=%~0"
   
4. if /i "%~1"=="ExitCode" goto :EXIT
   
5. if /i "%~1"=="" echo 现在是测试运行
   
6. if /i "%~1"=="WIN_Exit" echo 貌似我又复活了
   
7. echo start "" "%~0" WIN_Exit>ErrExit.cmd
   
8. call :查找进程
   
9. 
   
10. call :FINDEXISTPID
    
11. 
    
12. call :守护进程
    
13. 
    
14. start Check.vbs
    
15. :REINPUT
    
16.         echo -----------------------------------------
    
17.         echo  输入:ExitCode 完全退出程序
    
18.         echo -----------------------------------------
    
19.         set /p "Input=请输入入口代码:"
    
20.         if /i "%Input%"=="ExitCode" goto :EXITPROCESS_OK
    
21. goto :REINPUT
    
22. 
    
23. :查找进程
    
24. echo for each ps in getobject _>ps.vbs
    
25. echo ^("winmgmts:\\.\root\cimv2:win32_process"^).instances_ >>ps.vbs
    
26. echo if ps.name ="cmd.exe" Then wscript.echo ps.handle^&vbtab^&ps.name>>ps.vbs
    
27. echo next>>ps.vbs
    
28. goto :EOF
    
29. 
    
30. :FINDEXISTPID
    
31.         if exist ExistPid.txt del ExistPid.txt
    
32.         for /f "tokens=1,* " %%m in ('cscript //nologo ps.vbs') do echo %%m>>ExistPid.txt
    
33.         for /f "tokens=1,* " %%m in ('cscript //nologo ps.vbs') do (
    
34.                 type ExistPid.txt | find /i "%%m">nul && set "Pid=%%m"
    
35.                 )
    
36. goto :EOF
    
37. 
    
38. :守护进程
    
39. echo set Cleaner=createobject^("wscript.shell"^)>Check.vbs
    
40. echo do>>Check.vbs
    
41. echo WScript.Sleep 100>>Check.vbs
    
42. echo if not isProcessExists^("%Pid%"^) then>>Check.vbs
    
43. echo Cleaner.run "ErrExit.cmd">>Check.vbs
    
44. echo Exit do>>Check.vbs
    
45. echo End if>>Check.vbs
    
46. echo loop>>Check.vbs
    
47. echo Function isProcessExists^(proName^)>>Check.vbs
    
48. echo Set objWMIService = GetObject^("winmgmts:" ^& "{impersonationlevel=impersonate}^!\\.\root\cimv2"^)>>Check.vbs
    
49. echo Set colProcessList = objWMIService.ExecQuery^("Select * from Win32_Process Where Handle='" ^& proName ^& "'"^)>>Check.vbs
    
50. echo isProcessExists = ^(colProcessList.Count ^<^> 0^)>>Check.vbs
    
51. echo End Function>>Check.vbs
    
52. goto :EOF
    
53. :EXITPROCESS_OK
    
54. echo for each ps in getobject _>ps.vbs
    
55. echo ^("winmgmts:\\.\root\cimv2:win32_process"^).instances_ >>ps.vbs
    
56. echo if ps.name ="WScript.exe" Then wscript.echo ps.handle^&vbtab^&ps.name>>ps.vbs
    
57. echo next>>ps.vbs
    
58. 
    
59. for /f "tokens=1,* " %%i in ('cscript //nologo ps.vbs') do ntsd -c q -p %%i
    
60. echo del ps.vbs>>deltemp.cmd
    
61. echo del check.vbs>>deltemp.cmd
    
62. echo del ErrExit.cmd>>deltemp.cmd
    
63. echo del ExistPid.txt>>deltemp.cmd
    
64. echo del run.vbs>>deltemp.cmd
    
65. echo del deltemp.cmd>>deltemp.cmd
    
66. echo set Cleaner=createobject^("wscript.shell"^)>>run.vbs
    
67. echo Cleaner.run "cmd /c deltemp.cmd",^0>>run.vbs
    
68. start run.vbs
    
69. 
    
70. :EXIT
    
71. exit

复制代码

麻烦大家测试一下..

pusofalse

精彩！
测试果真关不了。最后我先结束Wscript.exe，然后kill cmd.exe，完了，临时文件没删除。
要是这么搞病毒，看来得实时查杀任务管理器。

flyinspace

原帖由 pusofalse 于 2008-8-22 05:12 发表
精彩！
测试果真关不了。最后我先结束Wscript.exe，然后kill cmd.exe，完了，临时文件没删除。
要是这么搞病毒，看来得实时查杀任务管理器。

没有,上面的代码只是演示而已,要不然,得用批处理脚本才能中断了....

最初的代码因为做得比较变态,只能exitcode代码的方式退出来,或者采用中断进程树的形式解决问题.

那个时候就不是简单的用任务管理器可以解决的。

但我还是担心有bug,于是就把那个简化了一下，做成了上面的代码.

基拉freedom

利用病毒原理 搞进程守护就可以完成 不过效率过低 利用资源过大了

基拉freedom

看来光用bat是不太可能的

hisplay

很好。。。能解释一下吗?

千浪

能不能这样.先把CMD.EXE复制为其他AMD.EXE,然后用注册表设置BAT用AMD.EXE来运行.