|
这几天一直在学习批处理,看了好多很好的文章,今天也把自己认为新学到的东西写出来和大家分享,嘎嘎 :> ( 别笑我写的不好) 8 G+ T! f, ` F; j, R
8 ^$ e h# r& ^; q6 p/ t% Q( M5 ~" s
* N5 E- g8 R& j( U0 B2 O# ~/ O
一.echo命令在深入 . R4 ^& G" f3 P( c2 v2 d
恐怕echo命令是大家最熟悉的命令之一了,常用格式: ; k1 ^9 T6 Z2 B- L& ~2 O4 F7 j
echo on echo off 9 R, m; j' H7 T- O w m9 r, S
echo 欲输出信息 , `; o. d% ?1 J! b4 q; D& o" B
下面写几个很多人不是特别熟悉的使用方法 4 w0 b$ z: B4 E' F
<1>首先进cmd:
2 M& i) H/ B6 }& y+ w**************************************************************** ; [' ^" ] T- z
Microsoft Windows 2000 [Version 5.00.2195]
8 H) d2 e6 D1 U1 I6 t* z( D(C) 版权所有 1985-2000 Microsoft Corp.
k6 [% Y O- e1 a7 JC:\>echo off回车 //之后c:\> 就会消失,直到你重新输入echo on
) a- E1 y6 l* j5 hecho on 5 Y/ @0 E" Q) U. O
C:\>
4 Q: t1 B4 H4 {1 {- A) v**************************************************************** , E- I( U5 Y# ^1 a) J- F3 q
<2>如何用echo向一个*.txt文件中写如一个回车呢? $ D6 \, W' B5 U" U2 l0 [( V* W
用echo 回车>a.txt 吗,哈,当然不是 ,这里就要用的命令: ) i1 o4 G o8 G
echo.>a.txt,echo.是关键,相当输出空行,即一个回车 - n) V, h u3 @4 ~" H4 [4 @/ z+ @- M
[e.g] 2 ]0 ^# y4 l9 o% x4 s
echo.|time //把回车传递给time命令处理,在批处理中常用此法来显示时间并把信息写入一个指定的文件
4 P- v$ m% i4 ], H: G! Kecho.|del *.* //呵呵,搞破坏是很有用啊
* x2 v: N R; b0 M" ~# Qetc. 3 w+ h' ~* X; }- S0 w/ D: a
<3>利用echo命令让喇叭唧唧的叫,哈哈 //可以用来吓唬人呦
1 o4 o$ r J7 v在cmd下输入:
( C! c% \, y% {. b3 ?6 M, J" B fecho空格,然后在按住ctrl键,之后连续点GGGGGGGGGGGGG,这样就会写出如下命令:
$ [4 Q4 U9 C, }' S7 Eecho ^G^G^G^G^G^G^G^G^G^G^G^G^G //注意:g越多,响的时间越长 $ \, u: k) }( w# @" u4 L
二.批处理与应急响应 + T Q! A$ `5 a1 }" }" y$ l
首先引用2003年10月《黑客x档案》上的一些东西(那会儿一直忙着学习,没时间看,现在才......555555555):
3 d, I( B4 X8 Z2 Q6 r3 d9 ^! O1 t2 w创建响应工具包:
5 u4 q! A9 j: q8 Ucmd.exe----------------------------------nt/2000命令解释器
7 O W+ a. W4 w Y! B- f& ^loggeden---------------------------------显示远程和本地连接的用户 9 K& v" Y; S# Z' B
rasusers---------------------------------显示出哪些用户具有权限访问nt工具命令箱
2 n1 y9 n6 A: U. n& M wnetstat----------------------------------列出监听端口
: Y& v4 ?% q) x. A* tfport------------------------------------端口进程关联工具
D. T4 v# X& E2 epslist-----------------------------------列出进程 ) X$ H8 j1 h6 H% o% ^) l& A- S
listdll----------------------------------列出运行进程以来的动态连接库 $ u& s/ z) T" B1 G( g$ H
nbtstat----------------------------------列出最近十分钟NetBios的连接
; G! Q( g; i7 h5 xarp--------------------------------------显示最后一分钟连接的系统的MAC地址 " V4 j% R# [6 O8 B
md5sum-----------------------------------md5校检和工具
. ]8 y, b- l- U& Bcca.exe----------------------------------检验克隆管理员帐号的工具
! A! Q3 [, h6 x( [# @- d( }doskey-----------------------------------显示cmd命令历史的工具 - W4 q3 W6 ]. h1 k7 @' D) g
....... . H" s' D0 j+ C* x) U
.......
" A. ]! ^( p4 N' O; K; K.......
: a, @: M! ~* b" m$ D8 J把你认为的对取证有用的东西都放进去
: @; w* @- R9 U原文的作者说的取证的方法是一次一次的输入命令并把information转移到安全的存储设备中去,这样一个麻烦的工作,我们何不利用批处理文件简化它呢,我的方法如下:
A5 b }: }! }比如受害的机器名是qq,安全的机器是127.0.0.1
) N' g1 R1 W$ b# x4 H9 H. V(这里,qq&127.0.0.1都是我,也就是说我是在一台机器上模拟我想说名的过程) ' D6 A# a- Z" X/ l. H
qq_cmdline: 5 c* m! i+ m+ h6 u
xiangying.bat|nc -vv 127.0.0.1 1234
6 N+ g3 L( j" K( M" T: [127.0.0.1_cmdline: 8 g3 O; C3 \: \; ~8 v4 I
nc -l -p 1234>xiangying.txt
2 Q5 j1 [- F% L, w--------------------xiangying.bat------------------------- ; z0 ]# u( Z8 f6 {: _ D- v4 ?( q }
@echo off
+ l& z5 o4 l1 w8 W+ J) P: Mecho ****************************** 1 S0 L1 ^4 S5 l6 Z9 h6 S
echo ******* start date *********
, C% e3 Q, T. q7 H$ J' @5 t/ kecho ****************************** & H) k p) _2 V( f; e# E' {+ ], [
echo.|date
4 u4 H1 u+ u; i9 F. mecho ****************************** S- z0 l/ {. x
echo ****** start time **********
3 o! p( o+ X8 n% R0 D# Wecho ******************************
+ n U) l K& J( q6 p+ J @echo.|time ) k2 t2 X$ `6 [ p
echo ******************************
. n, E3 i% g/ l# [echo ****** netstat -an ********** 1 c1 o8 \. m) _' t' n; q) x9 k7 G
echo ******************************
7 G* B$ L+ p/ D7 I. z* ]9 S+ }netstat -an
V+ ?+ n$ X: J3 \2 mecho ***************************** - g& w9 Q* c; F% [+ |
echo ****** arp -a *************** / Z8 G5 d4 @8 L8 [4 S& t/ B: f4 V
echo *****************************
, _. T; c# g5 F/ Iarp -a
/ L5 u$ U3 t4 _echo *****************************
- h, b" s4 T4 M2 ^! Jecho ******fport *****************
% c8 C. X- i$ k2 iecho ***************************** , X" z" I, s1 z$ Y
fport 7 X% C% K9 [: l; r! O* R: B
echo ***************************** \% [- K9 ?# {# a0 X
echo ****** pslist ************** - o. q) }; w4 V r+ E1 v
echo *****************************
, M" u' w, E; \4 f) ]% tpslist 2 a) h9 P$ Q' k( u3 c, h5 h
echo ***************************** % \8 d5 B% U& M- A% |3 e
echo ****** nbtstat -c************ + T/ X& s. c4 M- t
echo *****************************
+ q r) v' o% unbtstat -c ' { D& J8 _& J6 D X4 Z4 C) w
echo ***************************** ) S/ M* ?2 k/ r& X
echo ****** ipconfig ************
. w* C2 _6 R% s) ~! H- M+ ?! r1 ?' fecho *****************************
5 [& x3 p6 }" i; z. ^) _- d) @6 jipconfig /all " {' ^4 k# l' l0 M$ O
echo ***************************** 9 P, R" v* ]! Q$ ]+ m' ?
echo ******* end time *********** # G k: n: E |! n4 A6 ^0 R0 a2 l
echo *****************************
2 q! i! q4 p3 ]/ J( w& Iecho.|time
2 L# {; u9 ]4 [& fecho ****************************** & C1 B, o. c6 i: g9 ~
echo ******* end date ********* 5 y9 D) C. u! |3 ?3 R
echo ******************************
f/ \' {5 s1 d7 L0 w- _+ T" fecho.|date
/ j! h+ ?1 z8 C9 X/ i----------------------------end,save as xiangying.bat---------------------------
/ @# _' L2 [3 A2 A$ j i注意:在本例中,由于我的电脑上没有那么多工具,所以我xiangying.bat的内容是不全面的,但是大家就可以按照上面给出的格式自己写了
9 m- V1 @ I! ?: f6 J下面我给出我实验是得到的xiangying.txt是什么样子 5 k& g1 k9 g- y$ o
******************************
/ C2 _$ C6 D+ S7 c# J******* start date *********
( W) X+ n _4 z****************************** % @0 @$ R v; J' r0 X9 r' ~: P
当前日期: 2002-07-08 星期一
, _; c: n( R: W7 y输入新日期: (年月日) 0 F* T9 \( G9 S
****************************** % }9 X% G1 I+ g R! w+ ?( _( f, B
****** start time ********** 9 o5 r% z/ t8 X
******************************
( G2 K$ |) B' i" G+ P) ?当前时间: 9:27:07.80 9 Y( k/ Z! @0 ~# p
输入新时间: ; u4 a2 p6 ~) s8 E6 t3 l
****************************** - x; ^5 A9 f& h) e& q# g# t
****** netstat -an **********
$ \4 r, v0 c- m/ ~/ Q" G& W! _/ m****************************** 6 N' F+ m1 l4 R$ q
Active Connections 5 p8 D2 s" d9 J$ T
Proto Local Address Foreign Address State 5 {4 j- K1 o( a) P
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
. Q" \1 v! H2 PTCP 0.0.0.0:445 0.0.0.0:0 LISTENING 0 ?6 t+ F2 ~, y. N* y) V, n. a
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
% N& R. j+ I5 j' Z% V& V, v2 `( ITCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
6 o$ s/ ?' N4 }: T$ LTCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
% e& P" C# E2 t. n& pTCP 0.0.0.0:1234 0.0.0.0:0 LISTENING
- Z$ {! d$ G' |9 f8 \+ iTCP 127.0.0.1:1028 127.0.0.1:1234 ESTABLISHED ( {0 H9 Z4 I: b6 P
TCP 127.0.0.1:1234 127.0.0.1:1028 ESTABLISHED 6 n3 l7 e f8 ?2 g" Y8 M# z
UDP 0.0.0.0:135 *:*
1 o0 [9 N( r2 d, N0 yUDP 0.0.0.0:445 *:*
2 i4 T! [" h$ ^; C( x- ~UDP 0.0.0.0:1026 *:* 8 O/ y, S$ z0 y6 P) D9 Y5 X
***************************** # n$ Y6 i$ c {8 p; A! u: D
****** arp -a ***************
! K2 N6 ?5 _1 Z- @* I*****************************
- l' \8 K" A, a, Q1 ONo ARP Entries Found 0 ?7 i% n+ l! O O3 G8 \8 ~7 i
*****************************
. ~1 a" v9 P, G$ Q******fport ***************** / r# P$ Y$ e" D& O- i, N; I
*****************************
# {; o% B+ M7 k: C. U, hFPort v2.0 - TCP/IP Process to Port Mapper 8 C- T' n' b Y* k
Copyright 2000 by Foundstone, Inc. - t+ q0 ^2 I7 p) Q( n
http://www.foundstone.com
* ?8 Q. o" Q2 e, O# QPid Process Port Proto Path
2 `; w% o3 b- x* J: Y( D+ i400 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
- p! f0 A& ~ C8 System -> 445 TCP
+ Z3 o% z, v! ?/ H! i# X9 s548 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe ' w* G/ n& l2 s( w
8 System -> 1027 TCP
3 m' h9 @. s6 @: U/ E2 N0 Z' w772 nc -> 1028 TCP d:\nc.exe
# E( _( `' H* ^8 s; o7 e804 nc -> 1234 TCP D:\nc.exe : Y1 `6 x& R1 Y8 e
400 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
2 ]8 l# X' D7 N% r9 j% m# P4 s8 System -> 445 UDP
# p0 m; ]( ^- W- b8 T216 services -> 1026 UDP C:\WINNT\system32\services.exe
: i @7 ~2 B y7 D***************************** * f: S/ S2 W) B7 ~$ q+ A! o
****** pslist ************** 6 j. G" k4 Q+ [' p: G# w6 S# m5 p
*****************************
$ d6 i; s+ r, a: P& ePsList 1.22 - Process Information Lister
7 ]" v# L! G- I% G# dCopyright (C) 1999-2002 Mark Russinovich
9 D3 l. G2 \5 H, V+ F; u4 a4 f2 OSysinternals - www.sysinternals.com 0 h: ] c6 b. m+ ~; s+ J
Process information for QQ: ( T4 f1 ~% @+ V" u8 y$ g8 P
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time - m% [: X% s# z5 P# k
Idle 0 0 1 0 16 0:00:00.000 1:00:26.364 1:01:14.203
. r5 _2 j% V* b- @System 8 8 34 60 276 0:00:00.000 0:00:02.603 1:01:14.203 : \5 t9 H& {7 g% l4 X9 |: u6 b* _
smss 144 11 6 33 352 0:00:00.010 0:00:00.190 1:01:14.203 # u2 s9 p" n7 a7 {& L
csrss 168 13 10 290 1216 0:00:00.100 0:00:06.218 1:01:11.649 " b) p7 j. n9 R& c" |' y3 ^# L
winlogon 164 13 16 363 2692 0:00:00.220 0:00:00.610 1:01:10.307 - x3 ?+ P$ K* T9 V8 C& O
services 216 9 30 443 5016 0:00:00.320 0:00:00.731 1:01:09.216 # b# y5 L, `) c. f& c1 L+ D
lsass 228 9 15 251 1176 0:00:00.240 0:00:00.080 1:01:09.196
4 M9 b- `/ [) }3 bsvchost 400 8 9 242 3236 0:00:00.050 0:00:00.070 1:01:06.952
5 D/ {# R8 }8 {- h6 S* s8 m& Ospoolsv 432 8 11 151 3672 0:00:00.030 0:00:00.020 1:01:06.742
% {, U1 V& f7 X6 k6 [1 ysvchost 464 8 26 422 7416 0:00:00.120 0:00:00.180 1:01:06.722 " i- x4 P. v1 U/ ^# k
KAVSvc 480 8 9 57 6732 0:00:01.582 0:00:00.130 1:01:06.622
; g0 u7 d; M& a/ ~regsvc 532 8 2 30 964 0:00:00.010 0:00:00.010 1:01:06.201 . v7 o7 [& I8 e- z9 d2 Z! ^& s
MSTask 548 8 6 117 3124 0:00:00.010 0:00:00.030 1:01:06.051 4 E3 K' M4 A! x1 n. f$ m
WinMgmt 600 8 3 105 160 0:00:05.998 0:00:00.260 1:01:05.020 4 |! m# v3 ^/ v+ g
svchost 672 8 5 144 4532 0:00:00.010 0:00:00.050 1:01:04.319
, l C3 j. \# MExplorer 836 8 18 385 7152 0:00:02.633 0:00:06.889 1:00:45.662 % u0 z, N$ G6 ]3 u7 x7 y* C
delttoul 1000 8 1 21 1516 0:00:00.010 0:00:00.000 1:00:43.158 / i3 y. j. h' T
internat 1016 8 1 31 1412 0:00:00.040 0:00:00.200 1:00:43.038 , l2 _' E+ F0 @' w* \& i
wordpad 320 8 4 85 944 0:00:08.462 0:00:07.530 1:00:22.729 ; A3 n7 s. |1 C/ t! _
conime 840 8 1 19 1016 0:00:00.020 0:00:00.030 0:53:19.230
" P, I; D( N2 Y6 gcmd 924 8 1 24 56 0:00:00.010 0:00:00.030 0:03:46.075 ( o0 |7 w& y0 f9 ~ u2 j& \/ }4 _
nc 804 8 2 74 468 0:00:00.010 0:00:00.010 0:02:48.552 % N9 ^( F# k) G: @# _* k
cmd 392 8 1 24 516 0:00:00.010 0:00:00.010 0:01:19.774 + g9 X0 Z. S) i
CMD 916 8 1 24 1076 0:00:00.010 0:00:00.020 0:00:00.410
1 j3 A4 C3 i# x6 D ~3 p$ inc 772 8 2 75 2648 0:00:00.020 0:00:00.020 0:00:00.400 0 c! A7 Z/ v8 ?6 b/ ~! m1 e
pslist 820 13 2 79 1452 0:00:00.020 0:00:00.020 0:00:00.120 ! y, {; h! b" O& W
*****************************
" W% L: Y) o5 R6 L) y9 r% z****** nbtstat -c************
/ D3 [4 o. I: i; u*****************************
1 z% [6 q, [5 y9 Q' R. T* G1 N, j*****************************
2 _2 ?$ ]2 M9 b! w****** ipconfig ************
; X" Q8 r0 L) p* s+ o1 P/ g***************************** & ]; t( _6 O5 @! i4 r9 G! ]
Windows 2000 IP Configuration Host Name . . . . . . . . . . . . : qq
( A `& h+ U8 TPrimary DNS Suffix . . . . . . . : & ] y: u+ z8 z& I
Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No
% D# k' e1 c# d***************************** ! b- a. y4 A, D5 M2 j* I' p& I
******* end time ***********
& j) P) B) Q1 T0 H* S/ x$ ^( d7 o*****************************
, _, o( o" b+ c4 y当前时间: 9:27:08.28
8 L0 u6 o4 U4 F) \输入新时间:
# W% D6 E. s, `' y# x) M* B******************************
8 C+ K, S+ Q, n******* end date *********
9 O' @* I0 o3 V/ D******************************
' F+ j: X( k9 s2 P, R [当前日期: 2002-07-08 星期一 . T' X* N D# T" R
输入新日期: (年月日) $ }/ e: p, i2 f2 e
. G; z9 c, X3 I. @: X
怎么样,我们现在可以用得到的数据进行分析了吧,哈哈
' u+ j, X- ^6 F% K& m8 p* t) U' x! l7 G, `8 ^, f U- c$ f, E+ W" {3 p
三.几个要注意的小问题:
4 z) y1 P9 t8 ~1.在批处理文件中%win32% <=> c:\windows\system
2 f( A; \, v0 t* l: ]2.在批处理文件中使用环境变量的时候,必须用%将变量包起来
A. h, P9 A/ ~9 w3.for %f in (*.*) do command cmdline
, B# ^, s: F. \. ~4 W! I4 `在批处理文件中%f要写成%%f 5 d' e: ^$ B* X
8 w! L) J# g9 k! _; B6 j) A7 k
* s& G+ p3 c6 v& E: u$ o |