批处理恶意代码测试[MD5: F9D359]

bluewing009

这个是使用批处理来编写的一个  额 ... 自由选择类工具

本意是用来提供一个我写的修复工具的效果测试的样本下载                              传送门
大家也可以测试一下安全软件的效果

说明：
通过修改注册表敏感键值来实现影响系统
本身没问题，安全。 但是生成的 v-test.bat 有修改效果
对于一些云....  大家可以把生成的 进行上传...附件就免了（附件只是生成而已，本身安全）..
采用变量替换，每次都不同，26！排列。虽然这样，对于命令解释器还是同一个这样对于一些只检查表面代码的比较有效果
请先运行（附件安全），然后可以选择个项目，生成。然后测试生成的 v-test.bat 文件

提示：
如果 有安全提示，请选择 不要终止进程（cmd.exe），以便统计拦截数量
只是修改注册表项目，对数据没有影响
过程中会占用系统资源....建议实机生成，虚拟机测试



初步看到有一些没有任何提示的就过了.....
希望测试有效果的 能把拦截数量（次数，因为有多个功能，多个注册表项，并不是每个注册表项都能监控到的），安全软件的名称回复一下......嘿嘿...想让大家对批处理也偶尔注意一下....


附件(本身安全，但是生成的v-test.bat会修改系统)：   


这个是回显版本，可以显示命令是否成功执行   

z2009

生成的批处理在运行后都是被拒绝

bluewing009

回复 2楼 z2009 的帖子

这个是一个循环......
taskkill explorer和taskmgr
这个已经是最后了  本来加了个 /min 不知道怎么会最大化的....
前面的实际上已经执行完了

XMonster

bluewing009 发表于 2011-2-16 12:23
回复 2楼 z2009 的帖子

这个是一个循环......

2011/2/16 14:17:45    读文件    阻止
进程: c:\windows\system32\cmd.exe
目标: D:\下载\批处理测试生成\批处理测试生成.bat
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\System32\zh-CN\KernelBase.dll.mui
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\System32\en-US\KernelBase.dll.mui
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件夹    阻止
进程: c:\windows\system32\cmd.exe
目标: D:
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件夹    阻止
进程: c:\windows\system32\cmd.exe
目标: D:\下载
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

黑羽

hitman和胶囊均无视

xwhmm

毒霸安全........

zhengsam

悲剧啊，没反应

bluewing009

回复 4楼 dm34343667 的帖子

说白了 附件是个生成工具，你先生成再说......
这样直接拦截....

dragoonwing

运行生成物后，不停的循环图片中的指令，但是系统没有任何变化，这表示没有拦截成功？

飞翔企鹅

恢复工具呢