[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
luckboy45

Rank: 3Rank: 3

帖子
71 
积分
254 
技术
1  
捐助
0  
注册时间
2009-5-29 
1 跳转到 »
发表于 2024-7-24 09:42 | 显示全部帖子
批处理简单易上手,只要应用得当,还是很强大的,我同意3楼的观点。
  1. 本报告由逍遥@浪子@友情提供 由日志扫描工具纯P处理1.5.5-F版自动生成

  2. 

  3. 逍遥@浪子@反病毒博客  http://hi.baidu.com/逍遥问

  4. 

  5. 程序已经自动过滤微软数字签名通过的项目

  6. 

  7. 扫描以下内容:

  8. 

  9.     安全隐患扫描及修复(包括关闭默认共享,显示隐藏拓展名,显示隐藏文件,关闭自动播放等功能)

  10. 

  11.     系统劫持项目扫描 (包括IE浏览器劫持、IFEO劫持、CMD重定向劫持、组策略劫持项目检测等)

  12. 

  13.     所有的启动项目(包括注册表启动、启动文件夹、服务、驱动、Winlogon加载项等)

  14. 

  15.     正在运行的进程(包括可疑模块信息)

  16. 

  17.     HOSTS 文件

  18. 

  19.     Autorun.inf 

  20. 

  21.     文件关联 

  22. 

  23.     计划任务

  24.  

  25. 2024-07-18 星期四 10:00:37     用户名: Ad89

  26. 

  27. Microsoft Windows XP [版本 5.1.2600]

  28. =========================================== 

  29. 安全隐患扫描

  30. =========================================== 

  31.         默认共享

  32. 

  33. 名为 C$ 的默认共享不存在

  34. 名为 D$ 的默认共享不存在

  35. 名为 E$ 的默认共享不存在

  36. 名为 F$ 的默认共享不存在

  37. 名为 admin$ 的默认共享不存在

  38. =========================================== 

  39.       显示隐藏拓展名

  40. 

  41.            正常 

  42. =========================================== 

  43.       显示隐藏文件

  44. 

  45.            正常 

  46. =========================================== 

  47.       自动播放功能

  48. 

  49. 操作成功结束

  50. 已经修复禁止自动播放功能!

  51. ===========================================

  52.       磁盘格式检测

  53.       C盘是NTFS格式

  54.       D盘是NTFS格式

  55.       E盘是NTFS格式

  56.       F盘是NTFS格式

  57. 

  58. ===========================================

  59. 注册表启动项目

  60. =========================================== 

  61.       启动加载项目

  62. 

  63. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  64. <ctfmon.exe> <REG_SZ> <C:\WINDOWS\system32\ctfmon.exe>

  65. <GoogleChromeAutoLaunch_078DAA683E856FA85F1DC8A0C0FC2B69> <REG_SZ> <"C:\Program Files\UCBrowser\Application\UCBrowser.exe" --no-startup-window /prefetch:5>

  66. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  67. =========================================== 

  68.       桌面加载项目

  69. 

  70. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Explorer\ShellExecuteHooks]

  71. <{AEB6717E-7E19-11d0-97EE-00C04FD91972}> <REG_SZ> <>

  72. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ShellServiceObjectDelayLoad]

  73. <PostBootReminder> <REG_SZ> <{7849596a-48ea-486e-8937-a2a3009f31a9}>

  74. <CDBurn> <REG_SZ> <{fbeb8a05-beee-4442-804e-409d6c4515e9}>

  75. <WebCheck> <REG_SZ> <{E6FB5E20-DE35-11CF-9C87-00AA005127ED}>

  76. <SysTray> <REG_SZ> <{35CEC8A3-2BE6-11D2-8773-92E220524153}>

  77. <WPDShServiceObj> <REG_SZ> <{AAA288BA-9A4C-45B0-95D7-94D524869DB5}>

  78. =========================================== 

  79.       浏览器加载项目

  80. 

  81. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper <Objects\{889D2FEB-5411-4565-8998-1DD2C5261283}>

  82. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper <Objects\{DDD362CF-523B-4BC9-8FDC-58F93B6BC945}>

  83. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper <Objects\{DE05CF4A-7B0A-4775-B5E5-396244938679}>

  84. =========================================== 

  85.       winlogon加载项目

  86. 

  87. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  88. <Shell> <REG_SZ> <Explorer.exe>

  89. <Userinit> <REG_SZ> <C:\WINDOWS\system32\userinit.exe,>

  90. <UIHost> <REG_EXPAND_SZ> <logonui.exe>

  91. =========================================== 

  92.       浏览器主页扫描

  93. 

  94. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  95.     Start Page	REG_SZ	about:blank

  96. =========================================== 

  97. 系统劫持项目

  98. =========================================== 

  99.       浏览器劫持扫描

  100. 

  101. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

  102.     <没有名称>	REG_SZ	"C:\Program Files\Internet Explorer\iexplore.exe"

  103. ===========================================

  104.  ===========================================

  105.         非系统服务

  106. c20ukdrwsvc

  107. [c20ukdrwsvc] [Stopped/Manual]

  108. C:\Program Files\95599 Certificate Tools\Watertek\c20ukdrwsvr.exe

  109. clr_optimization_v4.0.30319_32

  110. [Microsoft .NET Framework NGEN v4.0.30319_X86] [Stopped/Auto]

  111. ===========================================

  112.         非系统驱动

  113. 

  114. [C:\\WINDOWS\\system32\\DRIVERS\\ACPI.sys               ] []

  115. [C:\\WINDOWS\\system32\\drivers\\acpiec.sys             ] []

  116. [C:\\WINDOWS\\system32\\drivers\\aec.sys                ] []

  117. [C:\\WINDOWS\\system32\\drivers\\afd.sys                ] []

  118. ===========================================

  119.         正在运行的进程

  120.   

  121. Description          ExecutablePath                                                                            

  122. System Idle Process                                                                                            

  123. System                                                                                                         

  124. smss.exe             C:\WINDOWS\System32\smss.exe 

  125. ===========================================

  126. 可疑的DLL模块  

  127. 

  128. 3:00	Microsoft Corp.	c:\windows\system32\dmserver.dll	  

  129. 9:09	不可用	c:\windows\system32\hp1006lm.dll	
复制代码
你能想象以上日志是由纯批处理脚本编写扫描获得的吗?这个程序是本人最得意的作品,只节选了扫描的部分内容做展示。其实如果搭配上VBS,脚本真的可以做很多事情,只是认知限制了你的想象。

早期版本依赖于外部工具PV和AOTORUN,最早成形于2008年。
日志扫描纯P版为1.5版本,2009年11月22日更新,为半成品,不依靠系统以外工具实现扫描日志输出,当时可疑DLL扫描和计划任务还没能实现。
新P版扫描为1.5.1版本2010年更新,基本成型,实现功能。
Batchscan1.5.2版本2011年7月2日更新,稳定性最佳的版本。
Batchscan1.5.3版本,2011年12月22日更新,更新非系统服务段代码,更新双重过滤可疑DLL模块。
Batchscan1.5.5版本,2014年8月27日更新,将代码整理的好看一点,修正细小问题,添加过滤显卡DLL签名,修改博客连接等。
Batchscan1.5.6版本  2014年10月28日更新
逍遥@浪子@反病毒
http://hi.baidu.com/luckboy039

TOP

返回列表