查看: 2893|回复: 0

重返命令行

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-6 02:09 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

这几天一直在学习批处理，看了好多很好的文章，今天也把自己认为新学到的东西写出来和大家分享，嘎嘎 :> （别笑我写的不好）

: f) D6 R. `; G8 t一.echo命令在深入 2 @ u" p2 N3 s. b. [' J6 O 恐怕echo命令是大家最熟悉的命令之一了，常用格式： 0 N% V+ c- e. p1 @; T' a' Decho on echo off " m& j5 e4 v, }1 O( B* Zecho 欲输出信息

下面写几个很多人不是特别熟悉的使用方法 % |- N2 z1 H: B+ X<1>首先进cmd: 6 b1 E E% x- ^% ? **************************************************************** * X' _3 ^+ r8 g7 g0 i( ^Microsoft Windows 2000 [Version 5.00.2195] . O5 R z- j v(C) 版权所有 1985-2000 Microsoft Corp.

C:\>echo off回车 //之后c:\> 就会消失，直到你重新输入echo on

echo on

C:\> # {' q% X/ ?) k3 B' y- _ ****************************************************************

<2>如何用echo向一个*.txt文件中写如一个回车呢？ / i& V8 G% R! {* S% q" D 用echo 回车>a.txt 吗，哈，当然不是，这里就要用的命令： ! u/ ^& z2 ^! a echo.>a.txt,echo.是关键，相当输出空行，即一个回车

[e.g] 6 Q# e5 I$ X# \$ U1 t* R, z2 Decho.|time //把回车传递给time命令处理，在批处理中常用此法来显示时间并把信息写入一个指定的文件

echo.|del *.* //呵呵，搞破坏是很有用啊

etc.

<3>利用echo命令让喇叭唧唧的叫，哈哈 //可以用来吓唬人呦 9 k# S: k" ?: j在cmd下输入: " A+ K$ t& A: h5 Wecho空格，然后在按住ctrl键，之后连续点GGGGGGGGGGGGG,这样就会写出如下命令： $ Y9 L: z0 a% K# s; M" c, J# X echo ^G^G^G^G^G^G^G^G^G^G^G^G^G //注意：g越多，响的时间越长

二.批处理与应急响应 % m" q4 i+ V! \4 Y 首先引用2003年10月《黑客x档案》上的一些东西（那会儿一直忙着学习，没时间看，现在才......555555555):

创建响应工具包： . H F/ R8 o! H$ f- M& z cmd.exe----------------------------------nt/2000命令解释器 , N m5 Q5 T8 s# i( Hloggeden---------------------------------显示远程和本地连接的用户 # G5 A' s3 Z, h rasusers---------------------------------显示出哪些用户具有权限访问nt工具命令箱 + q( M9 R, v( `6 S netstat----------------------------------列出监听端口 ; h! V5 l! C% i" M [/ \1 d fport------------------------------------端口进程关联工具 & I( n7 {# @4 ~$ B; N( z. Cpslist-----------------------------------列出进程 1 z- P8 {8 H# i) S, g4 h$ y1 E listdll----------------------------------列出运行进程以来的动态连接库 8 f: k/ S5 X: @. N! f) `& a- q nbtstat----------------------------------列出最近十分钟NetBios的连接 6 }% W, w6 x0 D- \9 Q7 D! u$ `arp--------------------------------------显示最后一分钟连接的系统的MAC地址 " U: w4 E5 S1 l8 e2 k& [" C8 } md5sum-----------------------------------md5校检和工具 # A: `. F0 A' T# T* K8 qcca.exe----------------------------------检验克隆管理员帐号的工具 6 b( C* j4 w/ ]' O! M" P4 J* ? doskey-----------------------------------显示cmd命令历史的工具 ' H, [6 {& u; c5 `, u ....... ! f9 a3 X; b4 D4 I ....... 4 E' D; P$ Y5 Z; E) b; I) \$ c+ N ....... 1 b7 x. G7 E8 _$ j3 z把你认为的对取证有用的东西都放进去

原文的作者说的取证的方法是一次一次的输入命令并把information转移到安全的存储设备中去，这样一个麻烦的工作，我们何不利用批处理文件简化它呢，我的方法如下：

比如受害的机器名是qq，安全的机器是127.0.0.1 ) w/ v9 i" y4 m* y8 n8 |（这里，qq&127.0.0.1都是我，也就是说我是在一台机器上模拟我想说名的过程）

qq_cmdline: $ n" K5 ~0 y( J0 |+ R; W$ Dxiangying.bat|nc -vv 127.0.0.1 1234

127.0.0.1_cmdline: 6 f J7 O" m& ~4 g$ i& b2 g, K nc -l -p 1234>xiangying.txt

--------------------xiangying.bat------------------------- 7 K* `: \4 V5 [ \9 d. N# q @echo off " E; h& T6 t" q! [% Necho ****************************** 7 {- v. B- e7 @" ]: o# y4 V& lecho ******* start date ********* A2 Z3 s3 N/ ~' w' wecho ****************************** 6 m I5 h9 G+ ?% g' N echo.|date # e: ?3 E' _& ^. W$ R2 b8 @ echo ****************************** ' p; r8 K9 X, @) I7 t echo ****** start time ********** 4 X+ w8 o3 l, A9 Z1 Gecho ****************************** 0 N- R) W* Z6 D6 J3 k echo.|time % ?3 U- i1 W2 J7 kecho ****************************** # H* x* f: \5 G7 c echo ****** netstat -an ********** 6 k4 x+ J% P6 {8 J8 n echo ****************************** . N1 O, k0 o" g- ?) z: ?netstat -an & Q* v* O& o- w9 ~ echo ***************************** - ~6 v$ }3 g6 `) L echo ****** arp -a *************** ( `" ?2 [5 }: K& A2 e: mecho ***************************** $ {9 t$ U8 i3 s* h( M) U d3 D: varp -a & D0 T7 _0 }$ W9 D0 m( t( A+ r" h0 T echo ***************************** * n, A" G, B% o$ `6 j5 B% Wecho ******fport ***************** % a1 l6 @) T& p8 I9 becho ***************************** : u. O. o* E, Y Afport % J$ O0 ?7 [- g8 P6 `/ e) N8 i echo ***************************** - W" u% Z( a* t0 `+ q# `echo ****** pslist ************** * R) Y$ p6 u) a0 W# mecho ***************************** 5 F" G2 G& N7 @ r8 c pslist 0 A8 m4 R; x$ C* P. ]2 ?8 A echo ***************************** ( _$ ^# u+ \+ l. p5 ~- p& x echo ****** nbtstat -c************ % n" c2 }" t# { echo ***************************** , _: s' ^( P8 x6 n* L1 E nbtstat -c |& w3 l4 F7 }% w& w4 ~* Secho ***************************** ! G3 O# b0 J* O$ o1 {- jecho ****** ipconfig ************ : ]& f: L8 e, f* c& M9 O" T echo ***************************** ) j6 V( j5 T9 T7 G+ _! w; S ipconfig /all 6 A, |: c+ z ?+ s9 |& o0 b9 v echo ***************************** X; n7 U" u& G. C6 L. }: Y& ^! v echo ******* end time *********** ; f" c" p3 Y4 Z& [& U m% f# j: decho ***************************** 1 C" P! @8 a1 f) G3 A echo.|time + p @) B: d5 g' U9 ]echo ****************************** : z6 Q) U7 L' L4 Fecho ******* end date ********* ' y/ T) V2 B7 X0 q3 Zecho ****************************** 7 V8 }) j; V5 Necho.|date $ k% n" z/ A' Q4 j& m: T/ y! m- M----------------------------end,save as xiangying.bat---------------------------

注意：在本例中，由于我的电脑上没有那么多工具，所以我xiangying.bat的内容是不全面的，但是大家就可以按照上面给出的格式自己写了

下面我给出我实验是得到的xiangying.txt是什么样子

****************************** 2 u$ D4 ~$ ~* m) B& Q& t$ @******* start date ********* ' L/ t" w8 ? V/ t# E- @, S ****************************** + o8 z3 X# [& E6 v) l 当前日期: 2002-07-08 星期一 $ b) i* Y& e' \% W; A! Q输入新日期: (年月日) 7 x& [% U/ B3 k ****************************** / s2 M! `. F0 j: E6 m: x0 g****** start time ********** 8 Y4 Y1 r! x. T6 ? ****************************** @) j; ^9 ^2 c( [" j1 m% F1 P$ J当前时间: 9:27:07.80 - n" m5 F( D x; U5 `( @ 输入新时间: & A* c! W$ J. C" j1 @****************************** : e4 h$ X6 j1 q) z: h: f, K* k****** netstat -an ********** 8 L" ]& ^ V- w ******************************

Active Connections

Proto Local Address Foreign Address State * f5 D: s* ]' e( p' P2 n$ F TCP 0.0.0.0:135 0.0.0.0:0 LISTENING % d" w% Q$ n; ~7 C8 V; h) v0 ?TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 8 ~5 B4 R# A" N8 c4 i1 m8 y- Y TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING ; O( J2 F) f0 G, aTCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 0 I) s$ U7 z, r2 FTCP 0.0.0.0:1028 0.0.0.0:0 LISTENING / d6 I$ H1 U+ W; o3 U v/ o5 J( S2 F TCP 0.0.0.0:1234 0.0.0.0:0 LISTENING 4 z0 X7 B( M9 S& d* b# J: WTCP 127.0.0.1:1028 127.0.0.1:1234 ESTABLISHED - o& Y' m4 ?" B3 kTCP 127.0.0.1:1234 127.0.0.1:1028 ESTABLISHED 9 q8 v0 v8 v3 {" l2 n; BUDP 0.0.0.0:135 *:* % i# A! ?/ z+ i& y% C; A UDP 0.0.0.0:445 *:* 1 ~/ h; Q& y, X* Q* J UDP 0.0.0.0:1026 *:* ! U3 y/ f5 R/ K* _" s+ M- F***************************** + t6 m2 v$ S* ]. T% m7 w ****** arp -a *************** ) d3 R' K0 q% i+ ^ ***************************** : `) N9 B% |$ {. k; `0 f2 E No ARP Entries Found 7 M0 q* c% o5 Q$ [* Z***************************** ; r# t+ {, T% A" D: s; q7 c" X0 o" X******fport ***************** * e9 t( A, J: Z: m2 n2 x***************************** : C% B9 R/ L/ Z2 \( n B/ Q) RFPort v2.0 - TCP/IP Process to Port Mapper . G% l& a- R' @6 `# [Copyright 2000 by Foundstone, Inc. ! j9 I/ h; l. A3 D0 [' |: lhttp://www.foundstone.com

Pid Process Port Proto Path 1 z. k3 c5 E" q* I/ y 400 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 3 ~7 [% k) S; [" `8 System -> 445 TCP 5 g% o ]+ h9 Q9 I5 y: Q. ~' M548 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe A/ H7 b. H" B5 J* [7 J; _+ B8 System -> 1027 TCP 0 k4 X; m+ u$ f. z772 nc -> 1028 TCP d:\nc.exe 0 z) E# R- Z: v4 W 804 nc -> 1234 TCP D:\nc.exe

400 svchost -> 135 UDP C:\WINNT\system32\svchost.exe 3 S6 k0 c2 K- S) u" ` 8 System -> 445 UDP B7 T' y2 i2 q& g' `216 services -> 1026 UDP C:\WINNT\system32\services.exe

***************************** , |; Y' I. P0 v) h+ L****** pslist ************** 4 c, x6 [2 P' _ N; P *****************************

Process information for QQ:

Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time + x; g. @: R6 y% P s2 p4 o2 S( Q Idle 0 0 1 0 16 0:00:00.000 1:00:26.364 1:01:14.203 + U6 U; h/ @- T+ N3 f' d9 p System 8 8 34 60 276 0:00:00.000 0:00:02.603 1:01:14.203 * e! s: I3 @( Nsmss 144 11 6 33 352 0:00:00.010 0:00:00.190 1:01:14.203 ; Q0 c; ~' d' [7 _ csrss 168 13 10 290 1216 0:00:00.100 0:00:06.218 1:01:11.649 5 I; v: G7 f0 h/ r! ~ Swinlogon 164 13 16 363 2692 0:00:00.220 0:00:00.610 1:01:10.307 2 Q2 {- e; ? M. Q8 j$ D1 yservices 216 9 30 443 5016 0:00:00.320 0:00:00.731 1:01:09.216 + f3 T) t; u( f& Zlsass 228 9 15 251 1176 0:00:00.240 0:00:00.080 1:01:09.196 " W# h3 Q; u6 y" R8 B* Z5 r0 Esvchost 400 8 9 242 3236 0:00:00.050 0:00:00.070 1:01:06.952 5 W- m1 {+ l. y' Q- t8 uspoolsv 432 8 11 151 3672 0:00:00.030 0:00:00.020 1:01:06.742 0 N9 x& h! [% t% n svchost 464 8 26 422 7416 0:00:00.120 0:00:00.180 1:01:06.722 % i x, P$ x3 ]1 W$ [KAVSvc 480 8 9 57 6732 0:00:01.582 0:00:00.130 1:01:06.622 1 M1 ]; g) ` Gregsvc 532 8 2 30 964 0:00:00.010 0:00:00.010 1:01:06.201 , ]* k% q. F8 l5 T" K4 d5 GMSTask 548 8 6 117 3124 0:00:00.010 0:00:00.030 1:01:06.051 ' j, j3 Q c, L8 n" E ~ v WinMgmt 600 8 3 105 160 0:00:05.998 0:00:00.260 1:01:05.020 2 R+ T8 B8 @0 N2 p2 M+ v, c svchost 672 8 5 144 4532 0:00:00.010 0:00:00.050 1:01:04.319 / l* {, |5 d6 c+ j4 gExplorer 836 8 18 385 7152 0:00:02.633 0:00:06.889 1:00:45.662 6 C5 j0 G% X( o$ t. s p9 ?delttoul 1000 8 1 21 1516 0:00:00.010 0:00:00.000 1:00:43.158 . \ J* e R0 |- H% b# p: z2 Q* Dinternat 1016 8 1 31 1412 0:00:00.040 0:00:00.200 1:00:43.038 * j. i% J5 W7 B J" ? e0 Vwordpad 320 8 4 85 944 0:00:08.462 0:00:07.530 1:00:22.729 7 Y7 G x& s* V* S! K5 F! {conime 840 8 1 19 1016 0:00:00.020 0:00:00.030 0:53:19.230 4 z- Z/ i }: B5 P% _( Gcmd 924 8 1 24 56 0:00:00.010 0:00:00.030 0:03:46.075 0 j# Y; h" ?" c* B% Gnc 804 8 2 74 468 0:00:00.010 0:00:00.010 0:02:48.552 s% I; y" u6 _. y2 }cmd 392 8 1 24 516 0:00:00.010 0:00:00.010 0:01:19.774 - n6 t. J+ b; r, E* M7 p( u8 l, O CMD 916 8 1 24 1076 0:00:00.010 0:00:00.020 0:00:00.410 3 L: ?9 t2 p+ U( l nc 772 8 2 75 2648 0:00:00.020 0:00:00.020 0:00:00.400 1 o- ^: v( [6 t pslist 820 13 2 79 1452 0:00:00.020 0:00:00.020 0:00:00.120 ' [7 X8 L% N' |" ?***************************** 2 i7 |2 Z3 ]5 s, H' G/ s9 j ****** nbtstat -c************ # k$ V! V) k) T* i0 k- b; G ***************************** 6 z; m2 ~8 I; z" x0 S. T ***************************** 0 `' D z) l, L$ Y, u****** ipconfig ************ ) Y/ P+ z- Z4 h***************************** - L. l1 p+ i/ l4 ]/ |9 N2 d* n+ ~ Windows 2000 IP Configuration Host Name . . . . . . . . . . . . : qq & f# V7 M! w+ ?( |( `Primary DNS Suffix . . . . . . . : / {" Q1 L' E ~ m0 |Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No + j$ `$ D O% [" R6 o# Y; }& }***************************** 0 A( R1 \8 }, I ******* end time *********** : p2 K6 r" G3 v& H1 z9 _ ***************************** & O1 u5 }. i$ n" i) c 当前时间: 9:27:08.28 7 B1 I* F! W H j- {输入新时间: ' M; w' A% r4 [1 x! c2 {****************************** " b1 d* N# g1 Q* u k ******* end date ********* 2 [: X% {; b' B2 X4 b ****************************** " m. e! e& W: P8 R7 A: z" Q A4 |# I 当前日期: 2002-07-08 星期一 8 w+ y1 L, U! G8 O6 ` 输入新日期: (年月日)

/ R: V. g- I7 {怎么样，我们现在可以用得到的数据进行分析了吧，哈哈

1 a1 F, @* I7 M2 ~) R) u 三.几个要注意的小问题： - l' }; N5 k W; E1.在批处理文件中%win32% <=> c:\windows\system ) |$ I1 F' o, i9 O 2.在批处理文件中使用环境变量的时候，必须用%将变量包起来 ) O. m( h1 ?8 O/ k3.for %f in (*.*) do command cmdline & q6 g: Y/ p8 o0 s9 k 在批处理文件中%f要写成%%f

' [- R- |$ i' o' e4 B 8 K+ f8 p- s. W$ L( d/ o+ }# K7 z

zan