[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
批处理可疑程度分析报告
By bluewing009   QQ 961881006

分析文件:C:\批处理危险等级.bat
==============================================
   危险等级: ★★★★☆    中度危险
   可疑程度: 5%
==============================================
第163行   调用未知文件    start "" "%Target_path%%Target_Name%_详细分析.txt"  
第301行   调用未知文件    start %temp%\批处理危险等级_更新.bat
第42行   调用未知文件    echo start "" "%~dp0\%~n0.bat">>%temp%\批处理危险等级_更新.bat
第139行   删除文件    del  "%temp%\result.txt"  "%temp%\decrypt.txt" "%temp%\key_code.txt" "%temp%\key_code_special.txt" "%temp%\key_code_output.txt" >nul
第150行   删除文件    del %temp%\详细分析_1.txt %temp%\详细分析_2.txt >nul
第172行   删除文件    del /f /s /q %temp%\decrypt.txt >nul 2>nul
第212行   删除文件    del %temp%\temp_.txt >nul
第149行   复制文件    copy /b %temp%\详细分析_1.txt+%temp%\详细分析_2.txt "%Target_path%%Target_Name%_详细分析.txt"
第6行   复制文件    if %errorlevel%==0 copy /y "%Target%" "%temp%\decrypt.txt">nul
第41行   复制文件    echo copy /y "%temp%\批处理危险等级.bat" "%~dp0\%~n0.bat">nul >>%temp%\批处理危险等级_更新.bat

TOP

32# bluewing009
晕,为什么我会

TOP

30# BillGates


我运行了,并没有发现解析时会突然中断的情况

TOP

2# plp626


果然是超级危险BAT,我把它放在D盘的根目录下运行,运行完后现在要忙着重新下载所有的游戏去了......

TOP

28# bluewing009
它似乎是读出了被解密的批处理的某些选项。
下面这个附件就是我要分析的批处理。

TOP

27# BillGates
能不能吧你分析的文件给我?  MY Q 961881006  离线或者邮箱都行

TOP

26# bluewing009
论坛的附件没更新呀。
更新模块的确更好了,不会出现像以前那样的无法连接服务器的情况了。
但是解密模块有点问题了哦。解密时,进度到一定值时,会出现 “请输入要解密的批处理<q=exit> ” 这个按回车或者再输入文件都是可以继续的,不影响后续操作,接着又回出现 “请选择<1 2>回车” 乱按也可以的。这算是个错误吧。行数似乎也有计算错误哦,我用的那个记事本是显示行数的,不知道是不是和这个批处理的行数计算方式不同呢。

TOP

本帖最后由 bluewing009 于 2011-7-16 14:30 编辑

V1.2

更新:

添加了两个敏感命令cscript mshta 定为4级危险  感谢 ID=BillGates

因为这两个命令调用的是未知脚本 比如 vbs  而vbs 是没有经过检测的

修正了可能因为网速导致的无法更新,暂定下载版本标记(只有几个字节大小)延时1s

TOP

这是一个虽然涉及敏感命令的正常批处理

不知道算不算咬文,但是终觉得这句话有点缺了什么。
不过楼主的功能还可以。
I Love Batch as love my life!

TOP

2# plp626
无奈,运行了你那个代码……全部文件被清空了。郁闷啊,求救,有没得救的啊?

TOP

建议对文件名也进行关键词检索,某些时候也许(“也许”)可以找到点东西。
顺便举一个恶心的特例:
  1. 文件名为:echo 任意键删除当前文件夹下所有文件&pausedel ..bat
  2. 内容为:%~n0 /q
复制代码

TOP

20# BillGates


现在手机,回去后看看你提到的命令~谢谢提醒~

关于不能更新,我需要再看看~毕竟是免费的…………你能登陆那个站点的话应该没问题

TOP

20# BillGates


额,让你白兴奋一回…………那个更新站点只是提供个网络上的地址方便更新而已…………好歹也是个站不得已用word弄个首页充数…………那个来访统计是只本机的,读取cookie,清掉后,你又变成“第一个”了…………

TOP

17# bluewing009
我看它自己更新了一下,就1.1了,去你的网站看了一下,我居然是第一个进站的,哈哈,然后查看生成的版本临时文件,发现变成1.1的了,但是忘记更新压缩包内容了,后来再运行就无法自动更新咯,那个更新模块还有待完善吧,一直提示无法连接服务器。
建议加多几个命令如:cscript mshta(这两个可以加载脚本) tskill ntsd(这两个可以杀进程),唉,system32下还有好多exe不知道命令用法啊,郁闷啊,今天发现了一个tskill,比taskkill易用呀。

TOP

抱歉

18# zm900612


额……杯具,拼写错了,记得这是初中词汇,动词,擦除,名词,橡皮………………E文…………::>_<::

这个是回帖的时候错了,文件里没问题的。

TOP

返回列表