作者前文介绍了Windows PE病毒， 包括PE病毒原理、分类及感染方式详解；这篇文章将讲解简单的病毒原理和防御知识，并通过批处理代码和漏洞（CVE-2018-20250）利用让大家感受下病毒攻击的过程，包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能，同时提出了安全相关建议。这些基础性知识不仅和系统安全相关，同样与我们身边常用的软件、操作系统紧密联系，希望这些知识对您有所帮助，更希望大家提高安全意识，安全保障任重道远。本文参考了参考文献中的文章（尤其感谢千峰教育史密斯老师 [峰哥]），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。

文章目录：

从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“系统安全”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~ 推荐前文：网络安全自学篇系列-100篇 https://blog.csdn.net/eastmount/category_9183790.htm

作者的github资源：

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。该样本不会分享给大家，分析工具会分享。（参考文献见后）

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。常见病毒如“爱虫”病毒、CIH病毒、木马病毒（Trojan）、脚本病毒、宏病毒等等

本文首先通过批处理bat文件模拟简单的病毒功能，让大家简单感受下病毒的某些功能。包括：

bat文件是dos下的批处理文件。批处理文件是无格式的文本文件，它包含一条或多条命令。它的文件扩展名为 .bat 或 .cmd。在命令提示下输入批处理文件的名称，或者双击该批处理文件，系统就会调用cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。使用批处理文件或脚本，可以简化日常或重复性任务。入侵者常常通过批处理文件的编写来实现多工具的组合入侵、自动入侵及结果提取等功能.

注意：再次强调，本文仅仅是普及安全知识和病毒背后的机理，让大家更好进行防御工作。如果需要复现样本，一定在自己的虚拟机中完成，一切犯罪行为必将受到严惩。

下面讲解第一个批处理脚本，主要是调用“shutdown”实现关机。该批处理脚本能让我们最快的熟悉脚本的恶意功能，其基本步骤如下：

如下图所示，运行CMD可以查看shutdown命令的基本用法。

基本命令为：

运行结果如下图所示：

新建“test.bat”并填写“shutdown -s -t 600”，某些系统需要在“文件夹选项”中，显示“隐藏已知文件类型的扩展名”。

双击BAT文件即运行关机，如果需要取消，还是在CMD黑框中输入“shutdown -a”命令。

接下来分享一个比较完整的bat脚本制作过程，这些代码对批处理功能熟悉和脚本病毒逆向分析都有帮助。

第一步，新建game.bat文件。

程序编写如下所示，其中“@echo off”表示关闭回显，“color 0a”表示设置颜色。

运行结果如下图所示，可以看到标题为“Eastmount程序”，并且包含相关内容，这就是批处理文件执行过程。

第二步，做一个选择判断，该程序需要和用户进行互动。 核心代码为“set /p num=您的选择是：”，其表示设置变量num，“/p”表示暂停并等待用户输入，用户最终输入的值赋为num。

输出结果如下图所示：

第三步，补充修改管理员密码、定时关机、退出等命令（病毒常用功能）。 修改管理员密码的命令是微软所有系统的通用命令，下述代码是修改当前管理员密码为“123456”。

第二个选项是关机，命令如下：

第三个选项是退出本程序。

接着编写判断和跳转批处理代码，代码如下所示，“>nul”表示不输出运行提示信息。虽然goto语句不提倡使用，但某些情况下还是挺便捷的。

此时输入“1”会提示系统错误，如下图所示：

同时，杀毒软件也会提示黑客修改电脑，点击“允许操作”即可，

继续完善脚本：

以“管理员身份运行”后，成功修改“xxxxx”用户的开机密码为“12345”。

输入2可以设置关机时间，这里就不再赘述，批处理脚本实现某些恶意功能的过程已经详细讲解。

上面主要介绍了批处理bat脚本实现关机和修改管理员密码的功能。但在真正的网络攻防过程中，脚本病毒和宏病毒更常见，这里分享下它们的防御方法。

脚本病毒是主要采用脚本语言设计的计算机病毒。现在流行的脚本病毒大都是利用JavaScript和VBScript脚本语言编写。实际上在早期的系统中，病毒就己经开始利用脚本进行传播和破坏，不过专门的脚本型病毒并不常见。但是在脚本应用无所不在的今天，脚本病毒却成为危害大、传播广的病毒，特别是当它们和一些传统的进行恶性破坏的病毒如CIH相结合时其危害就更为严重了。

随着计算机系统软件技术的发展，新的病毒技术也应运而生，特别是结合脚本技术的病毒更让人防不胜防，比如在APT中鱼叉式钓鱼邮件结合宏病毒（Office文档）就很常见。由于脚本语言的易用性，并且脚本在现有应用系统中特别是Internet应用中占据了重要地位，脚本病毒也成为互联网病毒中最为流行的网络病毒之一。常见脚本文件后缀：

常见的防御措施包括：

上一篇文章我们介绍了PE病毒控制权获取的常用方法，当计算机重启后，病毒自启动是一个重要的功能。常用方法包括：

注意，后续Windows黑客编程文章，作者也会详细介绍各种自启动的代码（C++\Python）实现方法。

接着编写一个伪装成“系统垃圾清理”的代码，它其实是一个导致系统死机的代码，也不能算是“病毒”，更多是一个恶作剧程序。但它能让我们了解脚本病毒的某些功能，其原理是不断打开CMD程序，占用系统资源从而导致死机，并且每次开机都会自动启。

PS：这里强调一句，建议大家在虚拟机中运行该代码。我们作为安全工程师，希望您们去了解漏洞背后的原理，更好地进行防御，绿色网络需要我们共同维护，杜绝一切违法行为。

第一步，在C:\windows目录下创建文件“windows.bat”。一个“>”表示覆盖文件内容，两个“>>”表示追加一句话至文件末尾。

用户打开这个程序之后，程序就会不断打开cmd，占用系统资源，导致系统瘫痪，%0是再次执行该程序的意思。但是，这样只能让用户死机一次，重启系统以后，不再打开这个文件以后，就不再会中招了。

第二步，将这个恶意脚本放到开机菜单中，每次开机都自动启动运行并导致电脑死机。 errorlevel为预定义变量，随着系统变化而变化。如果为0表示上一条命令执行成功，如果非0表示上一条命令执行失败，它不是Win7系统，而执行下面这条命令（XP系统、2003系统）。

代码“echo.”表示空行，比如代码：

输出结果如下图所示：

第三步，接着编写next区域代码，完整代码如下所示。

注意，我注释了重复操作代码“::echo %%0>>c:\windows\ windows.bat”，否则开机自启动很麻烦。接着运行代码，如下图所示，需要右键“以管理员身份运行”。

代码会在C:\windwos目录下创建批处理文件“windows.bat”。

同时，在我的Win10系统开机自动动目录下也有该文件。目录：

打开该文件可以看到写入的“start cmd”代码，表示打开CMD。

双击该“windows.bat”文件，运行结果如下图所示。

总结： 该部分编写了一个系统清理工具，其实是把这个windows.bat写到用户的开机自启动目录下，达到用户每次开机，都会运行该程序的目的，重复调用CMD占用资源。如果中了该病毒，用户可以使用PE到开启启动目录把windows.bat文件删除，或者重装系统，再次建议大家别让它重复运行。

WinRAR漏洞（CVE-2018-20250）是Check Point团队于2019年2月爆出的严重安全漏洞，该漏洞已存在于WinRAR中19年，是APT攻击中非常经典的漏洞。由于WinRAR使用了一个陈旧的UNACEV2.dll动态链接库造成的。当我们解压任意ACE文件时，由于没有对文件名进行充分过滤，导致其可实现目录穿越，将恶意软件写入操作系统启动Startup文件夹，并且电脑重启时会自动运行该程序，从而造成恶意软件劫持。通过该漏洞可以获得受害者计算机的控制。安全专家表示全球有超过5亿用户受到WinRAR漏洞影响。

下面我们先来复现该漏洞。该漏洞会对多种压缩软件造成影响，版本如下：

第一步，安装WinRAR 5.6.1的版本，后续5.7升级弥补了该漏洞。作者的电脑是Win10操作系统。

安装之后可以看到本地存在的UNACEV2.DLL动态链接库，它就是被利用的入口。

第二步，从github中下载漏洞利用程序，如下图所示。

我们尝试打开exp.py文件，代码如下，其中恶意软件为“calc.exe”、压缩包名称为“test.rar”、需要压缩的文件为“hello.txt”和“world.txt”、隐藏的路径为Windows系统开机启动的目录，并命名为“hi.exe”。读者也可以尝试修改名称，自定义需要压缩的文件及恶意软件。

第三步，打开Python运行exp.py代码，将自动生成test.rar压缩包。 注意，如果未安装Python或相关包，需要进行安装。同时不能双击exp.py，需要Python来运行代码。

第四步，此时在当前文件夹生成了test.rar文件，将该压缩包发送给其他用户，如果目标电脑存在WinRAR漏洞，则会造成影响。

注意：QQ和Win10防火墙已经能识别出该CVE漏洞号，如下图所示。

第五步，当目标用户在桌面解压该文件夹，则会在电脑启动目录放入我们的木马文件，命名为“hi.exe”。

Win10路径：

这里演示的是计算器，而如果植入恶意软件，则每次目标开机运行就会自启动该恶意代码。

注意：当目标用户解压我们文件时，其解压目录必须是 C:/users/当前用户/目录下，也就是必须是在下面这些目录中解压的该文件。压缩包中隐藏了深层次的路径，xp系统自启动路径可能不同。

这里补充手动查杀病毒的基本流程，它在一定程度上能有效防止病毒的恶意功能。

就自启动来说，我们首先需要检测启动项创建的位置及键值。如下图“熊猫烧香”病毒取消勾选“spoclsv”启动项，点击“确定”。

同时，打开注册表查看对应的值，发现创建了一个svcshare的值，它也是自启动对应exe程序。因此，需要删除注册表某些自启动键值。

还有计划任务、系统服务、DLL劫持、自动播放机制Autorun.inf都需要进行恶意自动启检查。比如在Win10自启动目录删除指定的恶意程序。

再看一个伪装的批处理代码。该命令执行杀死进程功能，“/im explorer.exe”表示要杀死的进程名称，如关闭桌面；“/f”表示强制杀死；“>nul”表示在屏幕上不要输出任何信息。

完整代码如下，其中“Start c:\windows\ expolrer.exe”表示继续开启桌面，“ping -n 5 127.0.0.1>nul”用于消耗时间。

运行该批处理程序，桌面会消失，如下图所示。

过一会桌面又会恢复。由于作者桌面东西太乱，这里仅显示壁纸展示。

蓝屏死机称为BSOD（Blue Screen of Death），也是常见的攻击行为，尤其是某些CVE漏洞复现过程，在进行提权尝试前都会先实现蓝屏攻击功能，其危害极大。

基本步骤如下：

黑客很少攻击个人，一般攻击服务器，该命令对2003的服务器特别有杀伤力。

双击之后，服务器直接蓝屏显示并重启。

ntsd从Windows 2000开始就是系统自带的进程调试工具，在system32目录下。ntsd的功能非常的强大，用法也比较复杂，但如果只用来结束一些进程，那就比较简单了。在Windows中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。lsass.exe也不要杀掉，它是负责本地账户安全的。被调试器附着的进程会随调试器一起退出，所以可以用来在命令行下终止进程。

打开cmd 后输入以下命令就可以结束进程：

范例详解：explorer.exe的pid为1332，但是如何获取进程的pid呢？在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID。或者打开任务管理器，在菜单栏，选择“查看”->“选择列”，在打开的选择项窗口中将“PID（进程标识符）”项选择钩上，这样任务管理器的进程中就会多出PID一项了。PID的分配并不固定，是在进程启动是由系统随机分配的，所以进程每次启动的进程一般都不会一样。

另外的能结束进程的DOS命令还有taskkill和tskill命令。

接着补充一个2021年初大家会遇到的Chrome浏览器导致Win10蓝屏的漏洞。

第一步，在Win10谷歌浏览器（建议使用虚拟机测试）中输入命令。

第二步，我们的计算机就会自动蓝屏重启。 该漏洞请勿轻易测试，个人虚拟机测试前先保存好资料。漏洞可用于拒绝服务攻击，并且微软还未修复该漏洞，微软edge浏览器也具有相同的效果。

第三步，分析漏洞原因，参考bleepingcomputer网站。

该Windows 10中的错误是通过在浏览器的地址栏中打开特定路径或使用其他Windows命令，即可使操作系统崩溃并显示蓝屏死机。据BleepingComputer了解，这是Windows安全研究人员在Twitter上披露的两个错误，攻击者可以在各种攻击中滥用这些错误。

自去年10月以来，Windows安全研究员Jonas Lykkegaard已经多次在推特上发布了一个路径，当输入到 Chrome 浏览器地址栏时，该路径会立即导致Windows 10崩溃并显示BSOD（蓝屏死机）。

当开发人员想要直接与Windows设备进行交互时，他们可以将Win32设备命名空间路径作为参数传递给Windows编程函数。例如，允许应用程序直接与物理磁盘进行交互，而无需通过文件系统。Lykkegaard告诉BleepingComputer，他发现了以下 “控制台多路复用器驱动程序” 的 Win32 设备命名空间路径，他认为该路径用于 “内核/用户模式ipc”。当以各种方式打开该路径时，即使是低权限用户，也会导致 Windows 10 崩溃。

当连接到该设备时，开发人员应传递“ attach”扩展属性以与该设备正确通信。如果你试图在没有传递属性的情况下由于错误检查不当而连接到该路径，它将导致一个异常，最终导致Win10出现BSOD崩溃。

更糟糕的是，特权低的Windows用户可以尝试使用此路径连接到设备，从而使计算机上执行的任何程序都很容易让Windows 10崩溃。在测试中，已经确认此错误在Windows 10 1709版及以后的版本中存在。

将文件格式修改或文档加密都是常见的病毒，比如永恒之蓝、勒索病毒等，它们就是将电脑内的所有资料、文档加密，当你要打开文件时，需要密码，此时通过比特币付费进行勒索。

下面这个小操作是将exe文件修改为txt文档。当遇到可执行的exe文件，会认为它是一个txt文档，用记事本打开，导致可执行程序运行不起来，这是就是这个病毒的原理。

双击运行bat文件之后，我们的可执行文件就变成了txt文件。此时系统认为exe就是txt程序，把系统的关联搞混乱了，它恢复起来很麻烦。

EXE程序打开如下图所示。

甚至打开CMD都是TXT文本文件。

接着需要执行下面的命令还原exe文件。

还原的代码及效果如下图所示。

其他所有文件格式都转换为txt文件，如下所示。此时，如果隐藏文件扩展名，甚至可以修改图标伪装成目标应用，当用户点击时会执行这些破坏；但由于不知道目标是否有隐藏文件扩展名，还是不建议这种“笨”方法。

解决方法： 如果您不幸中了该病毒，怎么解决呢？如下图所示，还原所有正确关联即可。

当然，还有一些恶意或娱乐功能，比如VBS脚本、网页弹窗（网站钓鱼）等，这里不再讲解。如果把病毒程序放到启动项，每次开机都会自动执行。

写到这里，这篇文章就介绍结束了，希望对您有所帮助，尤其是想成为白帽子和安全防御人员，这些基础知识都将对你系统安全入门有一定作用。再次感谢参考文献的各位大佬，也推荐大家阅读参考文献的文章和视频。文章存在一些不足，作者没有深入理解其原理，也是作为网络安全初学者的慢慢成长路吧！希望未来能更透彻撰写相关文章。

学安全一年，认识了很多安全大佬和朋友，希望大家一起进步。这篇文章中如果存在一些不足，还请海涵。作者作为网络安全和系统安全初学者的慢慢成长路吧！希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享，感谢师傅、实验室小伙伴的教导，深知自己很菜，得努力前行。编程没有捷径，逆向也没有捷径，它们都是搬砖活，少琢磨技巧，干就对了。什么时候你把攻击对手按在地上摩擦，你就赢了，也会慢慢形成了自己的安全经验和技巧。加油吧，少年希望这个路线对你有所帮助，共勉。

前文回顾（下面的超链接可以点击喔）：

2020年8月18新开的“娜璋AI安全之家”，主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解，同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统，并重构作者的所有文章，从零讲解Python和安全，写了近十年文章，真心想把自己所学所感所做分享出来，还请各位多多指教！谢谢。2021年继续加油！