（已解决）有没有办法跟踪cmd执行过的命令，查看输入的网上邻居密码

不脱单不改名

我们公司的文件共享服务器是之前离职的人设置的密码，走的时候没有交接，不知道服务器密码。他之前编写了一个小程序，让其他人点击那个程序自动访问共享，但是没有保存密码，每天点击一次那个程序。现在我想知道那个服务器的密码有什么方法可以破解吗，如果重装密码的话会影响到其他人访问。他写的那个程序应该就是一个cmd批处理加了壳的，运行的时候命令提示符闪了一会儿就退出了，我不会编程不知道怎么破解

可能我刚刚没有表达清楚，他不是一个单纯的bat文件，而是一个exe文件，只是运行的时候调用了cmd命令而已

刚刚根据大家的回复已经解决，谢谢大家了

nyano

右键-cmd批处理-》编辑

badanwfs

如果是 bat 批处理文件，直接用记事本打开就可以看代码了

不脱单不改名

badanwfs 发表于 2018-3-23 09:53
如果是 bat 批处理文件，直接用记事本打开就可以看代码了

可能我没有表达清楚，他是用bat的命令，但是加密了，打包成一个exe程序执行的

os52

//hijackcmd.c
//将cmd.exe重命名为cmdreal.exe
//将代码编译的exe命名为cmd.exe
//将接受的命令行输出到1.txt
#include <stdio.h>
#include <windows.h>
#define REAL_CMD_PATH "cmdreal.exe"
#define FILE_NAME "1.txt"
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,
                   LPSTR lpCmdLine, int nCmdShow) {
    FILE *fp = fopen(FILE_NAME, "a+");
    fputs(lpCmdLine, fp);
    fputs("\r\n", fp);
    ShellExecute(NULL,NULL,REAL_CMD_PATH,lpCmdLine,NULL,SW_SHOWDEFAULT);
    fclose( fp );
    return 0;
}

badanwfs

ekg123 发表于 2018-3-23 10:25
可能我没有表达清楚，他是用bat的命令，但是加密了，打包成一个exe程序执行的

有工具可以监测 命令行命令，貌似火绒剑就可以。你可以试试。

fireherman

用带HIPS的软件就可以检查；

例如Comodo：https://bbs.kafan.cn/forum-38-1.html

例如VSE：https://bbs.kafan.cn/thread-2116238-1-1.html

但HIPS有个问题是看不到参数。

需要查看完整命令行（带参数的），可以用ERP（EXE_Radar）：https://bbs.kafan.cn/thread-2077520-1-1.html

随便注册

bat是调用另一个exe？如果知道是哪个，任务管理器——查看——选择列——命令行可以看参数。

或者用AHK替换改exe，把收到的参数提取出来。

实在不行，bat转的exe要释放bat到系统临时目录，如果是NTFS，把临时目录设为能写不能删，抓住那个bat，不是NTFS就改环境变量，改位置。

不脱单不改名

随便注册 发表于 2018-3-23 12:39
bat是调用另一个exe？如果知道是哪个，任务管理器——查看——选择列——命令行可以看参数。

或者用AHK ...

好主意，我刚刚用火戎根据火戎的日志得到启发，不过是把网络断开才抓住这个bat的，我没想到可以把临时目录设置不能删，看来还是群众的力量大啊

不脱单不改名

badanwfs 发表于 2018-3-23 11:07
有工具可以监测 命令行命令，貌似火绒剑就可以。你可以试试。

谢谢你提供的软件，虽然没有直接解决，但是我根据火戎剑的日志想到解决办法了