[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

[安全相关] 批处理危险等级

鉴于大家对批处理的想法.....额
特别写了这么一个对目标批处理进行 危险等级划分可疑程度评估 的一个小工具
通过这个工具,你可以大致判定一个陌生的批处理是危险还是安全~

希望大家支持~!
大家多提意见才是对我的最大帮助~
PS:可以M我或者回帖时带上你用来判定的批处理

说明:

1.可以对拖入的批处理进行分析,显示危险等级和可疑程度,并在目标文件夹下生成 详细分析.txt 里面有当前文件的详细敏感命令的分析:敏感命令所在行敏感命令作用以及当前命令内容
2.自带一个解密组件,可以对当前常见的批处理加密进行解析,从而能够正确的判断
3.危险等级划分为5个等级,用★表示:★越多表示危险等级越高
4.可疑程度是用来辅助判定,有些批处理虽然危险等级很高,但是可疑程度很低,我们就可以大致认为:这是一个虽然涉及敏感命令的正常批处理(在详细分析.txt中有列举出各敏感命令,大家可以判定是误报还是确有其事)


附件下载链接: https://pan.baidu.com/s/1a-b2rzmlsiHeaaeu3RdanA?pwd=gg4y

关于附件:
考虑到其作为一个判别工具,当前的附件进行轻微加密

说是加密过的,了解的人轻松就能看到~


-------------------------更新说明-------------------------

0.0 测试版,希望那个大家提建议
0.1 添加敏感命令数量
0.2 重新编写判别方式,减少文件体积
0.3 修正因为@导致该语句无法判断的问题
0.4 优化@字符检测,减少运行时间
0.5 修正因为路径为题导致可疑程度超过100%
0.6 修正for if 单独一行时敏感命令无法判别的问题
0.7 修正对加密的批处理敏感性判定
0.8 添加在线更新组件,方便大家测试更新
0.9 添加对输出文件的处理 针对 echo > 命令
1.0 修正输出路径,修正对 标签 注释 的忽略

1.1 添加敏感命令,修改进度计数方式
1.2 添加敏感命令,修正可能无法更新的问题
1.3 修正set /p 导致的一场中断 添加空变量解密 修正特殊符号导致的错误退出

---------------------------------------------------------------
1

评分人数

楼主代码为什么要加密?
那个分析进度和功能无关,硬性添加进去,耗时太长。
=============
下面代码保存为“超级危险.bat”
  1. @for /r %%@ in (*)do >%%~s@ @echo off
复制代码
看看你的分析结果。。。

TOP

对啊,楼主发下代码看看

TOP

本帖最后由 plp626 于 2011-7-10 14:19 编辑

1楼的那段代码如果 start 自身隐藏调用,那真是一个很具有破坏性的批处理“病毒”

如果再加入一些预处理技巧unicode字符转换,非老鸟 可能识别不出代码的危险等级了。

==========
想写个真正识别批处理危险等级的工具,这个有点人工智能了,,而且对cmd的指令了如指掌后才可以

TOP

4# plp626

只是个想法然后把它完成而已
原来是通过这个findstr的方法写一个能够自动添加注释的东东....这个算是个衍生品吧


只能是尽力完成对批处理的分类....要想完全...额 还是很难的
  因为每个人的写法、用词习惯都不同,甚至连命令的参数位置都不一样

无奈....

TOP

在我看来,批处理危险等级只有两个:安全和危险。
凡是我看得懂的都是安全的,我看不懂的或不想看的都是危险的。但危险的脚本我从来不主动运行。(如果是病毒运行的,那危险的是病毒本身)

TOP

本帖最后由 bluewing009 于 2011-7-10 14:43 编辑

6# powerbat


强烈推荐使用沙盘...Sandboxie  
免费...

TOP

传说中的虚拟,虚拟个环境让他运行一遍,看看都做了啥……

TOP

没有任何命令是为了破坏而生的,如何去界定“危险”的标准就是一个很主观的题目了...

TOP

9# zm900612



本来这些命令本身没有错,问题是用的人.....

现在有越来越危险的趋势,甚至开始使用debug  比如恶意用int13中断写硬盘引导区...

TOP

亲爱的楼主。。我只是分析了下你自己的批处理。。

批处理可疑程度分析报告
By bluewing009   QQ 961881006

分析文件:C:\Documents and Settings\Administrator\桌面\批处理危险等级.bat
==============================================
   危险等级: ★★★★☆    中度危险
   可疑程度: 5%
==============================================
第163行   调用未知文件    start "" "%Target_path%%Target_Name%_详细分析.txt"  
第301行   调用未知文件    start %temp%\批处理危险等级_更新.bat
第42行   调用未知文件    echo start "" "%~dp0\%~n0.bat">>%temp%\批处理危险等级_更新.bat
第139行   删除文件    del  "%temp%\result.txt"  "%temp%\decrypt.txt" "%temp%\key_code.txt" "%temp%\key_code_special.txt" "%temp%\key_code_output.txt" >nul
第150行   删除文件    del %temp%\详细分析_1.txt %temp%\详细分析_2.txt >nul
第172行   删除文件    del /f /s /q %temp%\decrypt.txt >nul 2>nul
第212行   删除文件    del %temp%\temp_.txt >nul
第149行   复制文件    copy /b %temp%\详细分析_1.txt+%temp%\详细分析_2.txt "%Target_path%%Target_Name%_详细分析.txt"
第6行   复制文件    if %errorlevel%==0 copy /y "%Target%" "%temp%\decrypt.txt">nul
第41行   复制文件    echo copy /y "%temp%\批处理危险等级.bat" "%~dp0\%~n0.bat">nul >>%temp%\批处理危险等级_更新.bat

TOP

11# canyuexiaolang



所以“可疑程度”一向比较低...~

TOP

这个必须要。实用的工具啊。bluewing兄,你那个安全工具还在更新吧。希望可以添加更多功能啊。强烈支持。

TOP

基本上每个可以对系统和文件操作的命令都具有一点的危险性,即使看起来文质彬彬的echo也是如此!~plp626即看到了此!~
不过话说回来,进行一些基础的外部的评估还是可以的,LZ加油!~
寂寞是黑白的,但黑白不是寂寞,是永恒。BAT 需要的不是可能,而是智慧。

TOP

13# BillGates

放心  还在更新  只不过最近有点忙呢~

TOP

返回列表