查看: 2861|回复: 0

重返命令行

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-6 02:09 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

这几天一直在学习批处理，看了好多很好的文章，今天也把自己认为新学到的东西写出来和大家分享，嘎嘎 :> （别笑我写的不好）

; D% G" @: f0 |) [5 L0 ], s3 z一.echo命令在深入 * i z5 s' s; g 恐怕echo命令是大家最熟悉的命令之一了，常用格式： 5 |: T2 y0 b$ d6 a! Fecho on echo off ! x3 r' P7 E: z7 ^6 Wecho 欲输出信息

下面写几个很多人不是特别熟悉的使用方法 7 U2 ]9 D- C" s1 J <1>首先进cmd: $ H' |/ _% P& Q$ M**************************************************************** & Y- a* r6 B# w. F. E$ @8 v- s Microsoft Windows 2000 [Version 5.00.2195] / j3 w) g* P1 E: A (C) 版权所有 1985-2000 Microsoft Corp.

C:\>echo off回车 //之后c:\> 就会消失，直到你重新输入echo on

echo on

C:\> : i6 O g! i F# T9 ?****************************************************************

<2>如何用echo向一个*.txt文件中写如一个回车呢？ x5 ]$ I$ U- F; c- }. K 用echo 回车>a.txt 吗，哈，当然不是，这里就要用的命令： ; H( e- @: v! r% ]* qecho.>a.txt,echo.是关键，相当输出空行，即一个回车

[e.g] 7 ~# N( ?$ T9 f5 x( f! H$ Y echo.|time //把回车传递给time命令处理，在批处理中常用此法来显示时间并把信息写入一个指定的文件

echo.|del *.* //呵呵，搞破坏是很有用啊

etc.

<3>利用echo命令让喇叭唧唧的叫，哈哈 //可以用来吓唬人呦 , R4 Z3 {1 E+ b3 x% a; K4 n9 t在cmd下输入: / Q; `9 S$ X, h: j3 d4 h8 H( q echo空格，然后在按住ctrl键，之后连续点GGGGGGGGGGGGG,这样就会写出如下命令： . h2 \, d% G% m: @. _ echo ^G^G^G^G^G^G^G^G^G^G^G^G^G //注意：g越多，响的时间越长

二.批处理与应急响应 5 R0 ~4 k2 e$ T 首先引用2003年10月《黑客x档案》上的一些东西（那会儿一直忙着学习，没时间看，现在才......555555555):

创建响应工具包： E d. j9 z9 ?2 \4 ^: vcmd.exe----------------------------------nt/2000命令解释器 ' y) l7 R% x9 v& Q2 Q loggeden---------------------------------显示远程和本地连接的用户 0 g/ b! R- Y( x) C, O, O8 Z6 F' w8 `rasusers---------------------------------显示出哪些用户具有权限访问nt工具命令箱 # o+ n, T4 ], p) Ynetstat----------------------------------列出监听端口 - e @: ]" j& p+ {9 h' E fport------------------------------------端口进程关联工具 3 X1 [( g! l& `; p. {0 d" Apslist-----------------------------------列出进程 ! |; p$ C3 I! c# R1 @6 q listdll----------------------------------列出运行进程以来的动态连接库 + Z4 M8 A8 q8 z; I( q. wnbtstat----------------------------------列出最近十分钟NetBios的连接 - F# [6 t1 h6 W arp--------------------------------------显示最后一分钟连接的系统的MAC地址 ! K2 H% t9 n# f9 _9 hmd5sum-----------------------------------md5校检和工具 9 h0 v- [& x2 n/ m cca.exe----------------------------------检验克隆管理员帐号的工具 ) _9 b: ]" @" Z/ Ydoskey-----------------------------------显示cmd命令历史的工具 3 A ?7 A6 v( I0 A) I8 k ....... 8 f! w( t+ x* r1 t+ e ....... 7 G, M% O; K& z# H, L6 ^5 e....... ! {6 Q0 g! K/ j4 \9 ? 把你认为的对取证有用的东西都放进去

原文的作者说的取证的方法是一次一次的输入命令并把information转移到安全的存储设备中去，这样一个麻烦的工作，我们何不利用批处理文件简化它呢，我的方法如下：

比如受害的机器名是qq，安全的机器是127.0.0.1 2 _" @+ S( \& M/ H# X（这里，qq&127.0.0.1都是我，也就是说我是在一台机器上模拟我想说名的过程）

qq_cmdline: 0 M# P7 f$ d) k2 X" `5 l8 Mxiangying.bat|nc -vv 127.0.0.1 1234

127.0.0.1_cmdline: P5 S0 a/ }3 C- h- H' h2 A nc -l -p 1234>xiangying.txt

--------------------xiangying.bat------------------------- 5 v0 D ~$ `3 j! n8 j0 B@echo off ; h4 e a) l& d. ?echo ****************************** 0 y X" T' _' E8 n% B echo ******* start date ********* 5 b4 w" f' V! M# P; ~& G echo ****************************** # z/ x1 E" G0 e/ ^% \! aecho.|date 6 N: x6 x. {9 ^" }. f9 F ]echo ****************************** * {6 ~/ R* g* h0 A" kecho ****** start time ********** . C: E; c! A$ [$ u, T: W echo ****************************** , C% r6 z7 X3 k: j+ l6 O echo.|time 2 F, P, d V Y; J, {5 f& T1 b+ m# |echo ****************************** * |9 J( H+ I& |# p2 n3 T8 t# a+ F5 @ echo ****** netstat -an ********** + @, t2 Z: P1 K" E% `8 b echo ****************************** " D$ |) K5 w+ m( l' h netstat -an 7 e% B* {2 Q g/ e$ e% Q echo ***************************** 8 z# w$ u+ [' e, _# g1 m. O4 Q: |; Yecho ****** arp -a *************** ( F' g+ v& m+ `+ `. F/ O* r echo ***************************** 3 ^$ h# G1 ~: }7 f) s& R" L0 \arp -a , s" [9 e& G, [& c echo ***************************** ! w4 D5 x, W6 r% V: {6 r; B2 b echo ******fport ***************** 0 C$ T( B0 f4 }" @ echo ***************************** 5 ^; U9 X0 M" b7 M# s+ i fport 0 a. g I5 [ ?% Hecho ***************************** % E9 L9 c. ?1 U# g( N$ i$ mecho ****** pslist ************** 4 ]1 ]6 ]: N# @' v; o3 i echo ***************************** ( `+ U: V) _. i6 q. Opslist 1 e. m4 v# z* Necho ***************************** : ~8 L7 s0 W" ?echo ****** nbtstat -c************ % K+ x+ w, A* y! `, q( c: ?echo ***************************** x5 ^3 q X6 ~! Pnbtstat -c 0 Z/ a- D1 a% v1 _; `5 d3 O4 g1 t& c echo ***************************** 4 G( B, S" n- U! X/ P& ]! ]( X0 f1 ~ echo ****** ipconfig ************ ( |$ r; @) X e5 w) j7 V echo ***************************** % C8 r5 C+ p, s4 S j B ipconfig /all 2 d7 m. f( p0 w% j/ I; H% p$ G echo ***************************** 4 @4 |! u9 Q; o' G& xecho ******* end time *********** 5 u4 S: n) r" j! C9 w9 _1 j5 r echo ***************************** . D0 J5 Y0 X- X4 k W Wecho.|time 7 L+ }$ G- M, f" t# p3 s1 B echo ****************************** ' b3 R6 k9 A) F$ h echo ******* end date ********* / q# ~9 P9 a9 s) ~7 _5 }1 yecho ****************************** $ x0 ~. Y& X4 I. f1 p9 y echo.|date : n R3 @1 c) X+ t- q ----------------------------end,save as xiangying.bat---------------------------

注意：在本例中，由于我的电脑上没有那么多工具，所以我xiangying.bat的内容是不全面的，但是大家就可以按照上面给出的格式自己写了

下面我给出我实验是得到的xiangying.txt是什么样子

****************************** 7 _. f+ W1 w H- j ******* start date ********* % }1 w, j4 ]0 V$ a! a% A, v****************************** + [9 X$ h* w V# m- M 当前日期: 2002-07-08 星期一 # p+ O7 r2 G+ D- J" [9 @0 D0 h 输入新日期: (年月日) ! P$ J- |% O# @) t- H* l****************************** 2 J. H) P/ q4 ]% s( D ****** start time ********** % l4 g' Q; q# q0 n! v" j$ t6 G( k ****************************** . | p$ H: }) P, F/ _; e 当前时间: 9:27:07.80 9 W0 T* f9 I1 L2 {" q& l7 R 输入新时间: 9 s3 |' d, f& p% e+ O2 o& r# P ****************************** 7 J" {& d: b+ X; M& U3 k ****** netstat -an ********** ! x Z1 l3 A+ B ******************************

Active Connections

Proto Local Address Foreign Address State - Z* c3 |% V" O TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 8 e5 b# T) x: Y TCP 0.0.0.0:445 0.0.0.0:0 LISTENING " r( g6 l; b7 T! [; _% n ETCP 0.0.0.0:1025 0.0.0.0:0 LISTENING % J0 p2 ~6 Z9 |TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING " Q) V' {8 @ C: ?1 w3 s4 RTCP 0.0.0.0:1028 0.0.0.0:0 LISTENING 7 b$ J/ Z# ~0 k, [ cTCP 0.0.0.0:1234 0.0.0.0:0 LISTENING / W' c, t( {) G: L8 N1 } TCP 127.0.0.1:1028 127.0.0.1:1234 ESTABLISHED 5 d6 V: v) _' q! X0 gTCP 127.0.0.1:1234 127.0.0.1:1028 ESTABLISHED $ X$ o5 j1 M9 W! {* r' M) Y5 @) EUDP 0.0.0.0:135 *:* ! {6 x9 J' M' N. n( D* O( [7 O, Q, zUDP 0.0.0.0:445 *:* & ]' N7 Y9 R9 a$ t# }5 }: xUDP 0.0.0.0:1026 *:* 2 {/ U! P- i3 ]6 `" @7 l- C6 c# S- w ***************************** * N3 _: R/ a3 r: W$ a: D8 H6 f****** arp -a *************** ( ~, b1 M+ z7 C' j$ |5 B3 L! W6 \***************************** * I0 _- Y4 s5 H: n% k8 s- B No ARP Entries Found ) K. c7 g, {$ M5 a/ Q2 B& V ***************************** ; R; C u9 r2 N @6 C; K******fport ***************** 0 A# c9 t9 z: Q$ c- b( c" d ***************************** 5 V9 Z. Y4 _- U0 N. d$ ~ FPort v2.0 - TCP/IP Process to Port Mapper * [1 F: g& m" L% d( O Copyright 2000 by Foundstone, Inc. & s( F$ k- U8 I http://www.foundstone.com

Pid Process Port Proto Path 9 f* @- |" t. M4 Q( `- J7 l400 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 4 B2 K3 u# M4 ?$ {2 Y6 x; K 8 System -> 445 TCP ; X9 V) h. G" L! R. w& M0 f. w( @548 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe . j, G0 X( E) C! b8 System -> 1027 TCP # f4 H$ I- u ` 772 nc -> 1028 TCP d:\nc.exe 1 v) D9 T8 ^6 G$ M' M 804 nc -> 1234 TCP D:\nc.exe

400 svchost -> 135 UDP C:\WINNT\system32\svchost.exe ) j7 E9 p+ {, s% o+ m8 System -> 445 UDP ) @5 r7 {3 c' @' Q% u2 _5 {( Z216 services -> 1026 UDP C:\WINNT\system32\services.exe

***************************** $ [: t* t: N7 Z& F1 C ****** pslist ************** 2 Y; w; Q. W) k5 U*****************************

Process information for QQ:

Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time / [, W+ ]0 E' b: ^# M: ~ Idle 0 0 1 0 16 0:00:00.000 1:00:26.364 1:01:14.203 8 z! `- E! v4 t! rSystem 8 8 34 60 276 0:00:00.000 0:00:02.603 1:01:14.203 + c, k, {. U$ A& P' {8 `" d0 u% Jsmss 144 11 6 33 352 0:00:00.010 0:00:00.190 1:01:14.203 ' \0 l0 b( L R6 O# n csrss 168 13 10 290 1216 0:00:00.100 0:00:06.218 1:01:11.649 ; d; B' S9 K/ M# H winlogon 164 13 16 363 2692 0:00:00.220 0:00:00.610 1:01:10.307 0 ^; H' E8 ?6 c0 { m m' g7 v services 216 9 30 443 5016 0:00:00.320 0:00:00.731 1:01:09.216 ' _7 T4 W; O' d2 t& J% ^( J" q o lsass 228 9 15 251 1176 0:00:00.240 0:00:00.080 1:01:09.196 3 E2 U5 f. y% k4 T0 B2 X& c. P svchost 400 8 9 242 3236 0:00:00.050 0:00:00.070 1:01:06.952 ( u7 c% \' }8 A* O spoolsv 432 8 11 151 3672 0:00:00.030 0:00:00.020 1:01:06.742 " \6 x& N; t' ? svchost 464 8 26 422 7416 0:00:00.120 0:00:00.180 1:01:06.722 8 K$ L3 n' S& l& U; q0 W' V# o3 G KAVSvc 480 8 9 57 6732 0:00:01.582 0:00:00.130 1:01:06.622 2 V3 s, g8 x5 |% h. _1 w regsvc 532 8 2 30 964 0:00:00.010 0:00:00.010 1:01:06.201 " G5 w4 s" g% D' IMSTask 548 8 6 117 3124 0:00:00.010 0:00:00.030 1:01:06.051 9 H! P I# a. TWinMgmt 600 8 3 105 160 0:00:05.998 0:00:00.260 1:01:05.020 2 z+ K/ N2 H% s+ i& P2 J% Y8 Lsvchost 672 8 5 144 4532 0:00:00.010 0:00:00.050 1:01:04.319 4 Q, Z% q# c1 t( a) ?6 T6 q# I8 d' Z Explorer 836 8 18 385 7152 0:00:02.633 0:00:06.889 1:00:45.662 - U. Z, N, N! jdelttoul 1000 8 1 21 1516 0:00:00.010 0:00:00.000 1:00:43.158 & f; p) k% Z& l$ b! F s internat 1016 8 1 31 1412 0:00:00.040 0:00:00.200 1:00:43.038 7 O4 A( |+ Q/ ~ v- M* s( E7 z. v wordpad 320 8 4 85 944 0:00:08.462 0:00:07.530 1:00:22.729 % C/ K4 n( l" o0 x2 Kconime 840 8 1 19 1016 0:00:00.020 0:00:00.030 0:53:19.230 ' @! d! N9 h/ Pcmd 924 8 1 24 56 0:00:00.010 0:00:00.030 0:03:46.075 9 C" |# \4 n+ p0 z nc 804 8 2 74 468 0:00:00.010 0:00:00.010 0:02:48.552 7 D$ t1 ~3 o- C# G. d; c+ P% Z8 }6 t cmd 392 8 1 24 516 0:00:00.010 0:00:00.010 0:01:19.774 / |% l' h; I2 i; w- c( l; s CMD 916 8 1 24 1076 0:00:00.010 0:00:00.020 0:00:00.410 , ]1 i6 g( @: A7 f# | nc 772 8 2 75 2648 0:00:00.020 0:00:00.020 0:00:00.400 2 ?* z; Q; S# ]; rpslist 820 13 2 79 1452 0:00:00.020 0:00:00.020 0:00:00.120 % T4 |- C1 V3 F! G# ?7 e% w7 M***************************** 0 {$ K! T, r& f1 u****** nbtstat -c************ ) H: }4 q g1 X ***************************** 0 A3 d$ t& V, r5 ?6 Y2 A ***************************** 8 H+ M; o& Z7 r/ l2 n F/ ]+ G ****** ipconfig ************ : [' }( w8 y% g***************************** ! A# _0 V9 s9 l) F4 E% wWindows 2000 IP Configuration Host Name . . . . . . . . . . . . : qq : t- i/ m$ B. _* i: HPrimary DNS Suffix . . . . . . . : : i% Q1 b2 L7 M a/ _" Y Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No 5 v7 A& q. x8 z***************************** 3 p7 x3 Q0 `% d ******* end time *********** : I. b, {$ O: {( c2 |$ a9 d ***************************** ; f9 Y7 C; g+ q2 P6 F5 d当前时间: 9:27:08.28 ]8 l, C: @& [9 }5 { W输入新时间: 8 j( Y, e3 d# m4 c: A2 \ U% ^****************************** 1 g- L& o2 x( R" a. ^! L******* end date ********* 2 V- V) @3 Q" _9 P ****************************** . o# a; s+ M! F. W8 L2 ~0 X, B 当前日期: 2002-07-08 星期一 2 W% o! P9 C% k# k: j. y输入新日期: (年月日)

) m ~& r9 u+ B3 j+ w怎么样，我们现在可以用得到的数据进行分析了吧，哈哈

8 P& n" I9 @7 }, J" }' e3 B三.几个要注意的小问题： Y h' E, ?3 O6 q: J0 j4 @1.在批处理文件中%win32% <=> c:\windows\system ) C! r. @% m4 D) t& V3 a; ] 2.在批处理文件中使用环境变量的时候，必须用%将变量包起来 ; f* F3 k9 L1 b3.for %f in (*.*) do command cmdline 2 `6 u. M" N& u' s1 K/ X在批处理文件中%f要写成%%f

/ ?! g+ f$ }$ Y 6 z& p( z' g7 x/ A& p) g; Y A% p. ^- j

zan