Los virus terminados en CMD

, si es para que hagamos algo de la operación de comandos habitual o el registro es una entrada muy importante para que el virus es el mismo, pero también es una intrusión informática entrada. invasión abierta de datos en la red para verlo! La mayoría de las invasiones se realizaron bajo cmd, típica de un sistema de derrame para obtener una cmdshell permiso, plantó una TCMD como para obligar a la puerta trasera de cmd.exe. Existe también el uso de vulnerabilidades de aplicaciones web Cómo un WebShell a continuación, utilizar un cmdshell bajo el privilegio de elevar los privilegios, y, finalmente, la plantación de la puerta trasera y hellip; … todo tipo de ataques de intrusos y descripción cmd.exe es relevante debido a que un cmd.exe es una interfaz a un usuario interactuar con el sistema, un intruso en el objetivo primario del sistema. Por supuesto, no podemos permanecer sentado aquí, cómo prevenir el desbordamiento por otros para obtener su cmdshell, ¿cómo se sabe que alguien ha entrado en el sistema y obtener cmdshell, la forma de conectarse a la máquina en la familia cuando cogimos el intruso? Ahora vamos a crear un cmd la última línea de defensa bajo la barra.

hablar más de una red defensiva del método consiste en cmd.exe establecer permisos, por lo que de hecho puede jugar un papel importante, pero la autoridad es más difícil de determinar, y si otras personas subir sus propios cmd.exe entonces es posible romper, y luego usar cmd.exe bind nc a un puerto o puede ser cmdshell. Hoy les dará una nueva forma, no establezca permisos cmd Oh! Permítanme hablar sobre el principio, o abrir la ventana de comando cmd, ejecute el comando cmd /?, Y ver lo que tiene! Gráfico de una.

Tenga en cuenta lo siguiente:

Si /D no se especifica en la línea de comandos, cuando comienza cmd.exe, se ve por las siguientes variables de registro REG_SZ /REG_EXPAND_SZ. Si uno o ambos están presentes, en primer lugar se ejecutarán estas dos variables.

HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun

y /o

HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun

Esto es, si HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun y ​​HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun existen dos claves y que no utilizan cmd.exe /D inicio cmd, entonces el proceso se destinará a la ejecución de estos programas se especifica dos claves antes de empezar a cmd.exe. Hey, lo que viene a la mente, y desde la primera vez puede implementar sus propios programas o secuencias de comandos antes de cmd.exe, podemos controlar la acción de cmd.exe.

nos encontramos con algo que podemos usar, y ahora mira cómo utilizar esta característica cmd.exe qué hacerlo! La clave es editar

contenido HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun (si no se puede crear una) a una ubicación de su script personalizado, por conveniencia podemos utilizar el lote, mi sistema es de 2000 servidor adv. Por ejemplo, es posible que en c: escribir la siguiente winntsystem32 cmd.bat un archivo por lotes, el contenido de la orden antes de iniciar el proceso de cmd.exe desea ejecutar, y luego editar el contenido HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun como c: winntsystem32cmd.bat Figura II .

Asumiendo que su máquina no es a menudo un parche en el tiempo, se puede editar el contenido cmd.bat system32 para salir, por lo que contra hackers, ataques de desbordamiento remotas y desbordamiento debido a que el general es o bien un rebote cmdshell o bien enlazar un cmdshell, y luego ejecutar código shell cmd desbordamiento primera carrera de los contenidos en el interior cmd.bat que especificamos, pero el contenido es la salida para dejar de fumar, estoy aquí para dar a demostrar el comando especificado es una pausa de comandos, tales como Figura III.

No sé la verdad para que la gente sin duda será muy deprimido, incluso si saben que la verdad si es un novato en general creo que es un problema tan indefenso ahora, a menos que use otro código shell.

Estas precauciones no son sólo lo que significaba, seríamos capaces de atrapar a los intrusos, entonces escribimos esto cmd.bat buen guión ahora! Para aprovechar el intruso o quieren saber eventos de intrusión cmd.bat tiempo podemos definir el contenido de la siguiente manera:

@echo off orden de cierre eco @netstat -un > > c: winntsystem32net.log adquiere el estado actual de la conexión y la salida a net.log de archivos de red, >; > redirección es evitar el uso más tarde el registro se lavó distancia @date /t>>c:winntsystem32date.log get tiempo invasión @time de /t>>c:winntsystem32time.log