查看: 2898|回复: 0

重返命令行

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-6 02:09 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

这几天一直在学习批处理，看了好多很好的文章，今天也把自己认为新学到的东西写出来和大家分享，嘎嘎 :> （别笑我写的不好）

- K0 z. j0 Q$ Z I1 \6 ]一.echo命令在深入 # @* Q) d/ X' K1 m9 T9 ? 恐怕echo命令是大家最熟悉的命令之一了，常用格式： 2 d+ @1 ~3 s, T# N! e echo on echo off 5 c: U7 f. D3 r$ |9 t$ _/ i) gecho 欲输出信息

下面写几个很多人不是特别熟悉的使用方法 . s C: y0 c( w: y2 i; O<1>首先进cmd: ' F, D3 _& o6 z**************************************************************** / K7 K7 P0 G& QMicrosoft Windows 2000 [Version 5.00.2195] 1 K: @# d+ ^- n( h2 p- [2 W(C) 版权所有 1985-2000 Microsoft Corp.

C:\>echo off回车 //之后c:\> 就会消失，直到你重新输入echo on

echo on

C:\> 0 ?0 ^! L9 w! F, w6 o7 } ****************************************************************

<2>如何用echo向一个*.txt文件中写如一个回车呢？ 8 @( f# T6 d! t用echo 回车>a.txt 吗，哈，当然不是，这里就要用的命令： & ~& K9 E2 l: C, n, [echo.>a.txt,echo.是关键，相当输出空行，即一个回车

[e.g] 4 U- ]0 Q( k) j) [: l2 W' {' s6 E; oecho.|time //把回车传递给time命令处理，在批处理中常用此法来显示时间并把信息写入一个指定的文件

echo.|del *.* //呵呵，搞破坏是很有用啊

etc.

<3>利用echo命令让喇叭唧唧的叫，哈哈 //可以用来吓唬人呦 , ?* }4 D+ K" `! t$ X, N( j# H在cmd下输入: 5 Z) L7 F& [, j7 ?8 C$ O2 Iecho空格，然后在按住ctrl键，之后连续点GGGGGGGGGGGGG,这样就会写出如下命令： 2 }9 v" f1 e7 H5 n8 B/ V echo ^G^G^G^G^G^G^G^G^G^G^G^G^G //注意：g越多，响的时间越长

二.批处理与应急响应 8 I6 z; B0 ~1 f3 s* Z. ]' A 首先引用2003年10月《黑客x档案》上的一些东西（那会儿一直忙着学习，没时间看，现在才......555555555):

创建响应工具包： # k6 i& g' j5 T7 \2 g& u) B cmd.exe----------------------------------nt/2000命令解释器 7 E9 D) w3 j* ~loggeden---------------------------------显示远程和本地连接的用户 ! c% {/ j r! x* Qrasusers---------------------------------显示出哪些用户具有权限访问nt工具命令箱 ' P ]8 r% N6 i5 s6 B; Qnetstat----------------------------------列出监听端口 4 @ \/ D, ?$ Z1 ?, C' W fport------------------------------------端口进程关联工具 4 C w; M" ^- ~" Z9 c- c pslist-----------------------------------列出进程 8 L/ v9 R5 D' x k- S' e7 f5 Hlistdll----------------------------------列出运行进程以来的动态连接库 & m3 @+ v% F9 q. t( y9 _nbtstat----------------------------------列出最近十分钟NetBios的连接 0 ?$ W' Q- d; G" `3 uarp--------------------------------------显示最后一分钟连接的系统的MAC地址 - b$ P: r0 J' u1 L" Hmd5sum-----------------------------------md5校检和工具 1 o$ D9 K+ u+ I- Q f/ u- k cca.exe----------------------------------检验克隆管理员帐号的工具 1 h" }5 l2 Y6 d" w9 Y0 W# p6 qdoskey-----------------------------------显示cmd命令历史的工具 + e/ K7 t# G# P. \% P N....... ' E& f6 T9 b M1 I" J....... 0 X7 g n- j2 i1 `$ j8 u1 a....... T! w' ^: t' p& l6 l; _把你认为的对取证有用的东西都放进去

原文的作者说的取证的方法是一次一次的输入命令并把information转移到安全的存储设备中去，这样一个麻烦的工作，我们何不利用批处理文件简化它呢，我的方法如下：

比如受害的机器名是qq，安全的机器是127.0.0.1 6 `, w% k; p p) E7 O- T （这里，qq&127.0.0.1都是我，也就是说我是在一台机器上模拟我想说名的过程）

qq_cmdline: ! h1 G: K5 ]$ S xiangying.bat|nc -vv 127.0.0.1 1234

127.0.0.1_cmdline: 5 L% L; y( D# `+ ]/ t3 ^nc -l -p 1234>xiangying.txt

--------------------xiangying.bat------------------------- 8 F- G3 C2 c& \$ M h' K @echo off 8 T {8 _5 R# A7 R6 cecho ****************************** 5 }+ R' q% t; f7 x; w3 G; \4 C/ k echo ******* start date ********* 5 \+ S, P; U( z+ G5 h echo ****************************** % p3 w2 g1 y/ }- d echo.|date / z2 P( i* Z; ?echo ****************************** 4 B4 S, b7 L; techo ****** start time ********** 2 T7 j% \4 j" ~( e echo ****************************** ; F' ]( I6 R- s$ c) n- t) K echo.|time # m7 E/ n6 k4 ] echo ****************************** 3 T3 w! s% r* h2 m; g8 p. _* {echo ****** netstat -an ********** 7 w# W. `+ V7 W+ ]0 P, l echo ****************************** " n1 ?2 I7 ]6 `* \% Q; Cnetstat -an & G8 p# L+ w' g9 U) v* Gecho ***************************** 9 q! U9 x* a9 M9 xecho ****** arp -a *************** ) M5 ?" C' e: O% \& t+ y echo ***************************** : R$ y4 ?1 ?* ^1 n# R( Carp -a 2 P1 [% V* S! ]% s0 H. X. a echo ***************************** 4 `% r9 Z. [; V- F/ K# _5 c4 z) wecho ******fport ***************** 9 ?% F9 W/ a7 c6 n9 A4 Gecho ***************************** - c# q. m1 O$ o- @fport 7 O0 ?: n1 E7 F: ?echo ***************************** / L: r& O4 K, R0 ? echo ****** pslist ************** * E; B2 N- K r- Y$ H9 ]/ xecho ***************************** . z; s# {; Q. _0 y pslist 9 V! F4 r8 h7 b4 r% c# g% `9 U* f; H echo ***************************** , L+ E- V' u/ d) }- D- [0 U; {: uecho ****** nbtstat -c************ $ f+ D4 f/ [5 X9 e3 R2 i- A4 F: W, kecho ***************************** 1 S- {. d W0 Q H) d4 f nbtstat -c * K! @: f% H3 Y: lecho ***************************** " j, A* _ w. ]/ w echo ****** ipconfig ************ 5 Q! r9 [( e, F4 K% { echo ***************************** ( Z z S: V. U: W) W9 i/ ~; a3 Q: `ipconfig /all 3 E& S5 W6 s8 mecho ***************************** ; b6 H# a3 }* \ L7 c+ ~ echo ******* end time *********** & {7 h: N, a Recho ***************************** 0 X' ~" y3 m* Z- Z1 n; P P echo.|time 2 [# E8 |6 g/ E& ]2 D+ i% b echo ****************************** 1 S1 m+ R1 q$ S! d4 e( G% p echo ******* end date ********* 2 E1 ^6 M$ o2 m9 @ b: r/ @& Eecho ****************************** $ w: [9 Y- ~6 Zecho.|date 2 X: R- a% h9 c' Z. T ----------------------------end,save as xiangying.bat---------------------------

注意：在本例中，由于我的电脑上没有那么多工具，所以我xiangying.bat的内容是不全面的，但是大家就可以按照上面给出的格式自己写了

下面我给出我实验是得到的xiangying.txt是什么样子

****************************** / N4 ]& R2 h3 |; J/ O, M******* start date ********* 3 N5 i$ V$ J6 Y+ a ****************************** 8 @, f9 B! j" y. J 当前日期: 2002-07-08 星期一 . Q( q- {5 g) M# P7 s输入新日期: (年月日) . g, c$ }$ Z3 g9 Z6 x2 |6 |; t ****************************** / |6 }3 [$ F; F3 @9 U ****** start time ********** 1 Y5 r* k7 d" ~) X" B1 x ****************************** 5 `8 ~7 A$ @0 u6 Y 当前时间: 9:27:07.80 , X6 s0 q: Y) m+ v& w 输入新时间: ( _/ J* x/ O0 d****************************** : Z5 v) x; a* n5 b+ M' ^' Z8 \****** netstat -an ********** * h. A- }, E& s******************************

Active Connections

Proto Local Address Foreign Address State : h. h6 t/ [! r, W TCP 0.0.0.0:135 0.0.0.0:0 LISTENING : x9 k6 ]' ~, z% y9 PTCP 0.0.0.0:445 0.0.0.0:0 LISTENING 8 S. Y4 W/ }; |! P4 i% p, STCP 0.0.0.0:1025 0.0.0.0:0 LISTENING ) t' ?& w& \. d; J8 _TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 5 u, \8 U, i U% K! iTCP 0.0.0.0:1028 0.0.0.0:0 LISTENING , _1 C3 @: S% Z& _6 \5 g, s TCP 0.0.0.0:1234 0.0.0.0:0 LISTENING - E5 G( v0 }1 k e! b; S/ G. k! ATCP 127.0.0.1:1028 127.0.0.1:1234 ESTABLISHED $ T& `0 B/ I$ p# STCP 127.0.0.1:1234 127.0.0.1:1028 ESTABLISHED ; P9 M7 y' }: ~! `UDP 0.0.0.0:135 *:* 6 {. d4 f M& nUDP 0.0.0.0:445 *:* 3 S4 t3 a% y" O+ P. Z; ~9 C# Z UDP 0.0.0.0:1026 *:* 1 A+ h7 o, ^ \. X/ N***************************** 7 F- B1 v, J/ h1 j- F ****** arp -a *************** $ F; u7 R: `7 H( f( M***************************** + F8 f1 [, h$ P& X2 g No ARP Entries Found : n( H& f. j8 T9 y ***************************** t2 k1 J* p; w3 H; G******fport ***************** , A; x' m4 ^, Z1 r B3 Y ***************************** ! N6 ?5 Q$ Q0 r( _+ H FPort v2.0 - TCP/IP Process to Port Mapper % z" {4 V% L5 j1 p9 R Copyright 2000 by Foundstone, Inc. 5 j1 Y9 q7 `% v( ehttp://www.foundstone.com

Pid Process Port Proto Path / F2 t- S5 e6 P6 q+ U 400 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 3 C! D* G3 A2 N; t- I! e 8 System -> 445 TCP 7 a- E2 ^* ^* l 548 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe 3 D0 P$ W$ B' |+ g- P5 {& `8 System -> 1027 TCP 7 {6 X4 h- `' _9 h# c6 f0 Q! r 772 nc -> 1028 TCP d:\nc.exe 7 G0 g2 Y/ a& M- ^5 ~, ]804 nc -> 1234 TCP D:\nc.exe

400 svchost -> 135 UDP C:\WINNT\system32\svchost.exe 6 Q9 j, x6 O1 ^! w8 Q' K+ c8 System -> 445 UDP ( m1 e; |# j; [& s5 {216 services -> 1026 UDP C:\WINNT\system32\services.exe

***************************** 1 V# i0 w1 b4 j3 Z L1 y****** pslist ************** ! P" |" I! p$ v7 j* r- h: X% |7 f *****************************

Process information for QQ:

Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time l: _+ k! q0 J8 I; k& A3 z Idle 0 0 1 0 16 0:00:00.000 1:00:26.364 1:01:14.203 ) t# `# g7 S' V! [System 8 8 34 60 276 0:00:00.000 0:00:02.603 1:01:14.203 $ b# J* a( z% J6 y3 o/ `- Qsmss 144 11 6 33 352 0:00:00.010 0:00:00.190 1:01:14.203 v3 v* Z8 ]* k5 `. T# b' G8 J+ T. Z csrss 168 13 10 290 1216 0:00:00.100 0:00:06.218 1:01:11.649 ! {! |8 M5 v: M/ `5 H ^2 a( j winlogon 164 13 16 363 2692 0:00:00.220 0:00:00.610 1:01:10.307 9 ? L0 h* F, n1 Zservices 216 9 30 443 5016 0:00:00.320 0:00:00.731 1:01:09.216 3 h3 ]( }6 W0 V& P: x" E lsass 228 9 15 251 1176 0:00:00.240 0:00:00.080 1:01:09.196 I8 u; `& Q" s' _1 L) k+ s svchost 400 8 9 242 3236 0:00:00.050 0:00:00.070 1:01:06.952 8 ~' d$ G& g% U5 Q3 u spoolsv 432 8 11 151 3672 0:00:00.030 0:00:00.020 1:01:06.742 8 ^6 _7 Z0 P" ?' K9 Y- E' J svchost 464 8 26 422 7416 0:00:00.120 0:00:00.180 1:01:06.722 ; b: t* ?7 @* e2 {+ e& J* P KAVSvc 480 8 9 57 6732 0:00:01.582 0:00:00.130 1:01:06.622 . b6 J' r& T9 }9 K0 p regsvc 532 8 2 30 964 0:00:00.010 0:00:00.010 1:01:06.201 + p% `5 O& k- |! R' z/ a8 g+ { MSTask 548 8 6 117 3124 0:00:00.010 0:00:00.030 1:01:06.051 1 g+ A* M5 C3 Y* e9 |) @4 S4 S8 L WinMgmt 600 8 3 105 160 0:00:05.998 0:00:00.260 1:01:05.020 . i& g; V+ E( z" l5 msvchost 672 8 5 144 4532 0:00:00.010 0:00:00.050 1:01:04.319 ) A; t# _8 ~ ~) \! T8 F Explorer 836 8 18 385 7152 0:00:02.633 0:00:06.889 1:00:45.662 1 A' X6 j+ a7 _2 k( @: Pdelttoul 1000 8 1 21 1516 0:00:00.010 0:00:00.000 1:00:43.158 2 U; w% K/ a; n8 ^+ Z. H- A internat 1016 8 1 31 1412 0:00:00.040 0:00:00.200 1:00:43.038 3 }4 e4 B2 E/ I7 F' O I( t. }; d0 S wordpad 320 8 4 85 944 0:00:08.462 0:00:07.530 1:00:22.729 8 A0 Z3 n7 V( Q conime 840 8 1 19 1016 0:00:00.020 0:00:00.030 0:53:19.230 7 M8 y1 s) G( x( L cmd 924 8 1 24 56 0:00:00.010 0:00:00.030 0:03:46.075 / `6 S. j; C( s0 a. n& U" cnc 804 8 2 74 468 0:00:00.010 0:00:00.010 0:02:48.552 h$ B( f, k$ D# `2 ]5 M0 `1 ucmd 392 8 1 24 516 0:00:00.010 0:00:00.010 0:01:19.774 , w7 T& g2 k0 n) r& F9 rCMD 916 8 1 24 1076 0:00:00.010 0:00:00.020 0:00:00.410 4 Z* D6 R0 }. z) Z2 o nc 772 8 2 75 2648 0:00:00.020 0:00:00.020 0:00:00.400 ( X: D$ D, E6 s1 e, [0 k pslist 820 13 2 79 1452 0:00:00.020 0:00:00.020 0:00:00.120 1 t2 `( f9 {7 C***************************** 3 O5 k& f* d2 q ****** nbtstat -c************ 4 v9 z& Q) W9 M. r! h***************************** 5 U' w/ M# g& s3 H/ [0 q ***************************** 1 R( R o: @! l Y2 {7 D: k+ \****** ipconfig ************ 8 z5 z9 D( e3 V3 H/ x ***************************** ; l' Y7 |" d% [8 U7 aWindows 2000 IP Configuration Host Name . . . . . . . . . . . . : qq " q, e+ N D8 j* t Primary DNS Suffix . . . . . . . : 3 L3 m1 k( W$ p, u' LNode Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No : Z! Y- W) k7 }***************************** 7 V! s- _% }) z& |9 k******* end time *********** ( R, |, N" d8 O" K( P ***************************** % C" H6 z/ D8 f3 @$ m/ O7 w! I$ e 当前时间: 9:27:08.28 0 M" R. e3 E5 S, q0 f, o 输入新时间: ( J' F2 m* S a' t: }9 `: B2 @ ****************************** " K7 b- M' @2 Z3 I ******* end date ********* / ?2 T- @& g- R% G7 P9 Z" `9 K% N****************************** ; e" h* M% O' F* w+ i6 P8 `8 d当前日期: 2002-07-08 星期一 . f) v; x% ? Q8 f" { 输入新日期: (年月日)

: ^6 |; l1 C- w! I( y- F! M 怎么样，我们现在可以用得到的数据进行分析了吧，哈哈

4 F+ s) i0 } \6 r三.几个要注意的小问题： 8 w `6 L# G8 v. R3 r9 H 1.在批处理文件中%win32% <=> c:\windows\system L% ?( ~& j7 P/ K& Q 2.在批处理文件中使用环境变量的时候，必须用%将变量包起来 ; o! {; _8 E+ f6 g% R1 @ 3.for %f in (*.*) do command cmdline 7 Z! k1 |7 e0 |# e# h0 [! R0 R在批处理文件中%f要写成%%f

2 w9 n, A9 @! z6 g . H( T: G" A( n Q5 i% @

zan