[安全相关] 批处理危险等级

plp626

贵宾

Rank: 8 Rank: 8

帖子: 640
积分: 2838
技术: 101
捐助: 0
注册时间: 2008-1-17

4楼

发表于 2011-7-10 14:12 | 只看该作者

本帖最后由 plp626 于 2011-7-10 14:19 编辑

1楼的那段代码如果 start 自身隐藏调用，那真是一个很具有破坏性的批处理“病毒”

如果再加入一些预处理技巧unicode字符转换，非老鸟可能识别不出代码的危险等级了。

==========
想写个真正识别批处理危险等级的工具，这个有点人工智能了，，而且对cmd的指令了如指掌后才可以

Rank: 6 Rank: 6

帖子: 515
积分: 1788
技术: 15
捐助: 0
注册时间: 2009-11-27

5楼

发表于 2011-7-10 14:28 | 只看该作者

4# plp626

只是个想法然后把它完成而已
原来是通过这个findstr的方法写一个能够自动添加注释的东东....这个算是个衍生品吧

只能是尽力完成对批处理的分类....要想完全...额还是很难的
因为每个人的写法、用词习惯都不同，甚至连命令的参数位置都不一样

无奈....

powerbat

大校

Rank: 7 Rank: 7 Rank: 7

帖子: 752
积分: 4553
技术: 139
捐助: 0
注册时间: 2010-8-24

6楼

发表于 2011-7-10 14:31 | 只看该作者

在我看来，批处理危险等级只有两个：安全和危险。
凡是我看得懂的都是安全的，我看不懂的或不想看的都是危险的。但危险的脚本我从来不主动运行。（如果是病毒运行的，那危险的是病毒本身）

Rank: 6 Rank: 6

帖子: 515
积分: 1788
技术: 15
捐助: 0
注册时间: 2009-11-27

7楼

发表于 2011-7-10 14:42 | 只看该作者

本帖最后由 bluewing009 于 2011-7-10 14:43 编辑

6# powerbat

强烈推荐使用沙盘...Sandboxie
免费...

523066680

版主

Rank: 7 Rank: 7 Rank: 7

帖子: 3151
积分: 6455
技术: 317
捐助: 70
注册时间: 2008-8-3

8楼

发表于 2011-7-10 15:35 | 只看该作者

传说中的虚拟，虚拟个环境让他运行一遍，看看都做了啥……

FuniCode 编程论坛

CrLf

论坛巡查

Rank: 8 Rank: 8

帖子: 6388
积分: 18831
技术: 978
捐助: 100
注册时间: 2010-10-9

9楼

发表于 2011-7-10 16:17 | 只看该作者

没有任何命令是为了破坏而生的，如何去界定“危险”的标准就是一个很主观的题目了...

链接：在线第三方命令行工具下载 bat、vbs、js 原生混编

Rank: 6 Rank: 6

帖子: 515
积分: 1788
技术: 15
捐助: 0
注册时间: 2009-11-27

10楼

发表于 2011-7-10 17:01 | 只看该作者

9# zm900612

本来这些命令本身没有错，问题是用的人.....

现在有越来越危险的趋势，甚至开始使用debug 比如恶意用int13中断写硬盘引导区...

canyuexiaolang

荣誉版主

Rank: 8 Rank: 8

帖子: 647
积分: 3454
技术: 24
捐助: 0
注册时间: 2009-4-25

11楼

发表于 2011-7-11 08:59 | 只看该作者

亲爱的楼主。。我只是分析了下你自己的批处理。。

批处理可疑程度分析报告
By bluewing009 QQ 961881006

分析文件：C:\Documents and Settings\Administrator\桌面\批处理危险等级.bat
==============================================
危险等级： ★★★★☆ 中度危险
可疑程度： 5%
==============================================
第163行调用未知文件 start "" "%Target_path%%Target_Name%_详细分析.txt"
第301行调用未知文件 start %temp%\批处理危险等级_更新.bat
第42行调用未知文件 echo start "" "%~dp0\%~n0.bat">>%temp%\批处理危险等级_更新.bat
第139行删除文件 del "%temp%\result.txt" "%temp%\decrypt.txt" "%temp%\key_code.txt" "%temp%\key_code_special.txt" "%temp%\key_code_output.txt" >nul
第150行删除文件 del %temp%\详细分析_1.txt %temp%\详细分析_2.txt >nul
第172行删除文件 del /f /s /q %temp%\decrypt.txt >nul 2>nul
第212行删除文件 del %temp%\temp_.txt >nul
第149行复制文件 copy /b %temp%\详细分析_1.txt+%temp%\详细分析_2.txt "%Target_path%%Target_Name%_详细分析.txt"
第6行复制文件 if %errorlevel%==0 copy /y "%Target%" "%temp%\decrypt.txt">nul
第41行复制文件 echo copy /y "%temp%\批处理危险等级.bat" "%~dp0\%~n0.bat">nul >>%temp%\批处理危险等级_更新.bat

Rank: 6 Rank: 6

帖子: 515
积分: 1788
技术: 15
捐助: 0
注册时间: 2009-11-27

12楼

发表于 2011-7-11 11:04 | 只看该作者

11# canyuexiaolang

所以“可疑程度”一向比较低...~

BillGates

六级士官

Rank: 4

帖子: 257
积分: 423
技术: 1
捐助: 0
注册时间: 2009-4-24

13楼

发表于 2011-7-11 17:51 | 只看该作者

这个必须要。实用的工具啊。bluewing兄，你那个安全工具还在更新吧。希望可以添加更多功能啊。强烈支持。

cjiabing

荣誉版主

Rank: 8 Rank: 8

帖子: 1726
积分: 4476
技术: 95
捐助: 0
注册时间: 2008-12-21

14楼

发表于 2011-7-11 18:04 | 只看该作者

基本上每个可以对系统和文件操作的命令都具有一点的危险性，即使看起来文质彬彬的echo也是如此！~plp626即看到了此！~
不过话说回来，进行一些基础的外部的评估还是可以的，LZ加油！~

寂寞是黑白的，但黑白不是寂寞，是永恒。BAT 需要的不是可能，而是智慧。

Rank: 6 Rank: 6

帖子: 515
积分: 1788
技术: 15
捐助: 0
注册时间: 2009-11-27

15楼

发表于 2011-7-11 19:24 | 只看该作者

13# BillGates

放心还在更新只不过最近有点忙呢~