〔批处理〕搜索可疑文件内部的可疑关键字

最新推荐文章于 2022-05-11 15:46:23 发布
最新推荐文章于 2022-05-11 15:46:23 发布
阅读量808 收藏
点赞数
分类专栏: Windows 文章标签: list file application exe 脚本 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NeedJava/article/details/1794697
版权

 

 

 

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::
:: 搜索硬盘上所有的可疑文件,搜索可疑文件内部的可疑关键字
::
:: 可疑文件可以自行增减,关键字也可以自行增减,见file和evil定义部分,用空格分隔
::
:: 如果病毒脚本的关键字使用字符串连接,那么搜索一些类型的可疑文件时会失效
::
:: Author: NeedJava
::
:: Modified: 2007.09.21
::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@ECHO OFF

SETLOCAL EnableDelayedExpansion


SET "file=Autorun.inf Folder.htt Desktop.htt Desktop.ini"

SET "evil=application x-oleobject codebase exe pif"

FOR %%b IN ( !file! ) DO (

    DEL /F /Q "%%~nxb.vab" 1>NUL 2>NUL

    DEL /F /Q "%%~nxb.txt" 1>NUL 2>NUL

)

FOR %%a IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO (

    IF EXIST "%%a:/" (

       CLS

       ECHO. & ECHO 正在搜索〔%%a:〕盘……

       FOR %%b IN ( !file! ) DO (

           ECHO. & ECHO 正在搜索文件〔%%b〕……

           ATTRIB.EXE /S "%%a:/%%b">>"%%~nxb.vab" 2>NUL

REM        DIR /A-DS /B /S "%%a:/%%b">>"%%~nxb.vab" 2>NUL

REM        DIR /A-DH /B /S "%%a:/%%b">>"%%~nxb.vab" 2>NUL

REM        DIR /A-DA /B /S "%%a:/%%b">>"%%~nxb.vab" 2>NUL

REM        DIR /A-DR /B /S "%%a:/%%b">>"%%~nxb.vab" 2>NUL

REM        SORT.EXE /R "%%~nxb.vab" /O "%%~nxb.vab"

           SET "prev="

           FOR /F "delims=" %%c IN ( %%~nxb.vab ) DO (

               SET "list=%%c"

REM            :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
REM            ::
REM            :: 处理ATTRIB命令生成的行,前11个字符固定用来表示只读、系统等属性
REM            ::
REM            :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
               IF "!list:~12,2!"==":/" (

                  SET "list=!list:~11!"

               )

REM            :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
REM            ::
REM            :: DIR命令生成的行有重复,需要剔除掉,即先排序,再比较上一个
REM            ::
REM            :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
               IF "!list:~1,2!"==":/" (

                  IF NOT "!list!"=="!prev!" (

                     ECHO. & ECHO 找到文件〔!list!〕……

                     ECHO.>>"%%~nxb.txt" & ECHO - - - -[!list!]- - - - - - - - - - - - - - - - - - - ->>"%%~nxb.txt"

                     FINDSTR.EXE /I "!evil!" "!list!">>"%%~nxb.txt" 2>NUL

                  )

               )

               SET "prev=!list!"

           )

           DEL /F /Q "%%~nxb.vab" 1>NUL 2>NUL

       )

    )

)

@ECHO ON

 

 
NeedJava
关注
专栏目录
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
Windows日志分析(上)
最新发布
weixin_43200882的博客
10-20 3557
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。多年来,微软不断提高其审计设施的效率和有效性。现代 Windows 系统可以以最小的系统影响记录大量信息。一般来说企业会选择一种工具来获取日志,这个工具叫做即安全,信息和事件管理。
c# 扫描可疑文件(找到木马)(简)转
cuoban的学习空间
01-07 996
 using System; using System.IO; using System.Text.RegularExpressions; using System.Threading; using System.Windows.Forms; using System.Net;   namespace TrojanScanning
可疑文件_如何识别文件的真假
weixin_26808963的博客
12-15 429
每个人都下载文件,大家有没有想过,文件可能是假的,尤其来自网盘或专门的下载站。本文就来谈谈如何识别文件的真假。一、XcodeGhost 事件我们从一件真实的事件说起。2015 年 9 月,苹果手机的一些 App 被发现[1]向可疑网站发送数据。进一步调查确认,可疑代码是 Xcode 打包时植入的。也就是说,开发者的编程工具 Xcode 被动过手脚了。腾讯的安全团队公布调查报告[2],应用...
bat批处理脚本文件搜索操作
qq_30359369的博客
04-22 2251
【方案一】for /f + dir @echo off rem 指定待搜索文件 set “FileName=BatHome_Batcher.txt” echo 正在搜索,请稍候… for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do ( if exist %%a:\ ( for /f “delims=” %%b in (‘...
多个html文件内容合并,Bat批量将多个文件夹内容合并一个文件
weixin_35426913的博客
06-09 3332
方法一把各文件夹内所有文件内并到自动建的一个合并文件夹内,如有同名文件在主名后附容_序号。将以下内容保存到新建的txt文件,重命名txt文件后缀用txt改为bat,双击运行。@echo offset dd=合并md "%dd%" 2>nulfor /d %%a in (*)do if not "%%a"=="%dd%" (echo %%afor /r %%b in ("%%a\*")do ...
bat命令,批量删除文件,批量打包文件
qq_40602449的博客
09-19 1441
为了以后方便查询,写此篇文章 #截取字符串 #关键方法: # %%~nxa 获取当前文件文件名 # %%~dpb 获取当前文件的目录名 setmypath="C:\aaa\bbbb\abc.exe" for%%ain(%mypath%)doecho%%~nxa echo %%~dpb 批量打包bpmn文件 需要先安装7-zip压缩软件 #批量删除文件 ...
dasdaCFS SDAGSDF
03-22
- **文件安全与恶意软件**:识别和处理潜在的可疑可执行文件,理解为什么有些文件可能包含风险。 - **用户文档**:了解编写和阅读使用说明的重要性,以及如何从文本文件获取软件使用信息。 由于原始标题和描述...
linux命令详解及软件安装(持续更新)
Ferao的博客
04-06 1万+
linux解析 在java开发之路(javase、Mysql、前端(html、Css、Js)、JavaWeb、SSM(到这里很多人就开始找工作了)、Springboot、Vue、SpringCloud、MybatisPlus、Git…) 走到一定程度之后。 接下来再要遇到的技术(消息队列(kafka、RabbitMQ、RockeetMQ)、缓存(Redis)、搜索引擎(ES)、集群分布式(需要购买.....................
Linux系统:shell(三):shell script
Jodness' Blogs
03-13 810
目录 shell script概述 shell编程规范 shell字符串 shell数组 位置参数变量 shell script的常用命令 流程控制语句 函数 script之间的引入 shell script概述 shellscript是利用shell编程语言的功能所写的一个程序,该程序是一个纯文本文件,内含shell的相关语法和指令,搭配正则表达式,管道命令及其数据流...
bat文件的应用
java小子混迹江湖的专栏
05-06 962
bat文件  批处理文件是无格式的文本文件,它包含一条或多条命令。它的文件扩展名为 .bat 或 .cmd。在命令提示下键入批处理文件的名称,或者双击该批处理文件,系统就会调用Cmd.exe按照该文件各个命令出现的顺序来逐个运行它们。使用批处理文件(也被称为批处理程序脚本),可以简化日常或重复性任务。当然我们的这个版本的主要内容是介绍批处理在入侵一些实际运用,例如我们后面要提到的用批处理
批处理全盘搜索指定文件获取其完整路径(部分)
xinali1的专栏
04-29 1990
我是看批处理之家的一位高手写的代码,他没有给出详细的解释,我就在这里给出解释 原文的地址:http://bbs.bathome.net/thread-3465-1-1.html @echo off rem 指定待搜索文件 set "FileName=BatHome_Batcher.txt" echo 正在搜索,请稍候... for %%a in (C D E F G H I J K
请问批处理符号%~nx0和!num!%%~xm表示什么意思呢?
ILY的博客
05-05 2万+
请问批处理符号%~nx0和!num!%%~xm表示什么意思呢? @echo off  setlocal enableDelayedExpansion for %%m in (*) do (     if not "%%m"=="%~nx0" (         set /a num+=1         ren "%%m" "!num!%%~xm"     ) ) echo
(转)批处理(bat)全盘搜索指定文件获取其完整路径方法大全
weixin_34153893的博客
11-26 369
本文总结了4种实现全盘搜索指定文件获取其完整路径的bat批处理文件源码,有需要的朋友可以参考下【方案一】for /f + dir?12345678910111213@echooffrem 指定待搜索文件set"FileName=BatHome_Batcher.txt"echo正在搜索,请稍候...for%%ain(C D E F G H I J K L M N ...
批处理(bat)实现全盘搜索指定文件获取其完整路径方法大全
哈哈星云
05-23 5196
本文总结了4种实现全盘搜索指定文件获取其完整路径的bat批处理文件源码,有需要的朋友可以参考下 废话不多说,直接上代码,额,想用的话,自己保存成bat文件即可。 【方案一】for /f + dir@echo off rem 指定待搜索文件 set "FileName=BatHome_Batcher.txt" echo 正在搜索,请稍候... for %%a in (C D E F G H I
批处理代码实现文件查找
qq_40589021的博客
05-11 2174
查询文件并输出文件路径 @setlocal enabledelayedexpansion @echo off set /p FileName=please enter filename: set Disk=C set SrcPath=\Users\123 for %%a in (%Disk%) do ( if exist %%a:\ ( pushd %%a:\ for /r %SrcPath% %%b in (*%FileName%) do ( echo seraching
如何用Java代码列出一个目录下所有的文件
黄昏的大树
05-14 4702
如何用Java代码列出一个目录下所有的文件
linux取证之可疑程序分析
NFMSR的博客
07-27 1519
linux平台下可疑程序分析 对可疑恶意代码的取证需要在安全和可靠的环境进行,应将可疑文件放置在隔离环境或者沙箱系统网络。 检查恶意程序的准则: 建立环境基准 VMware建立模拟环境 分析之前,首先保留受害系统在可疑代码运行前的快照 同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。 Open Source Tripwire工具:用于监控数据完整性以及在...
数据库置疑(可疑状态)的修复方法
热门推荐
wacthamu的专栏
01-13 3万+
首先要强调的是最好要在此数据库断开所有连接,没有未被提交的事务的状态下关掉数据库,否则可能会引起日志文件无法重做。 有如下几种可行的方案: 1.一般情况 ALTER DATABASE DatabaseName SET EMERGENCY ALTER DATABASE DatabaseName SET SINGLE_USER DBCC CheckDB (Database
可疑文件处理指南:识别、扫描与预防
本文档详细介绍了如何处理计算机系统可疑文件,以及相关的病毒知识。首先,处理可疑文件的方法包括使用最新版本的扫描引擎配合最新的病毒码进行全面扫描,如果结果显示正常,可以进一步通过其他防毒软件进行双重...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值