网络安全：windows批处理写病毒的一些基本命令.

网络安全：windows批处理一些命令.

@echo off一般都写在批处理的最上面，用于关闭回显，意思是

关闭回显：

没有关闭回显:

所以，意思就是将输入指令的过程隐藏起来。

set是设置的意思，作业是打印、创建和修改变量:

 意思是set创建一个名字叫num的变量，/p是让用户输入一个变量，/p收到的变量赋给num，在屏幕上打印：您的选择是：

批处理的if语句：

%%是取值的意思,中间放变量名字，那么就是取该变量。 

 如果num输入了1，那么就goto(执行):1下的内容

>nul加在命令最后，用于取消回显，这个回显是这个代码执行后会连带的显示，比如显示：命令成功完成、连接成功等等回显：

如：

 

echo是打印,echo.是打印一个回车

 

可以看到中间多了两个换行(回车)。

dir查看当前目录下的文件或文件夹

dir /a 查看包括隐藏起来的所有文件或者文件夹

type查看文件内容

rem是注释

重定向符号>和>>:

echo hello这句话是打印hello在屏幕上 ，如果加上>a.txt

那么就会创建一个a.txt,让后将hello写入a.txt文件中。

如果再输入echo abc >a.txt那么会将a.txt中的hello改成abc

因此上面的>nul是重定向到一个空指针中，也就是将前面打印的内容定向到空指针，最后会消失掉。

如果echo def >>a.txt，那么会在abc后追加def（会多一个回车）。

rd 删除文件，在不加任何参数时，rd命令只能删除空的文件夹。：

        rd .意思是删除当前目录下的某个文件或是文件夹，如:rd .\abc

        rd . /s意思是除目录本身外，还将删除指定目录下的所有子目录和文件。用于删除目录树。

        常用rd . /s /q删除当前目录和目录下的文件和文件夹,并且不会提示。

管道符|

        管道符的作用：是用于两个命令或者多个命令相链接，将前边的命令的执行结果传递到后边的命令

        一次输出信息太多，不想通过上下滑动来查看时，可以在打印信息的命令末尾加上| more，这样可以让打印出来的信息进行分页，从而可以用键盘慢慢地查看输出信息。

        

        底下会出现more，可以按回车进行翻页。查看更多信息

        

         如果没有|more，那么会直接打印出来

         

        

copy拷贝

        copy  信息或者文件(源)  文件或者路径（目的地）

copy con 文件,con代表屏幕，总体意思是：你需要在屏幕上输入信息，最后将屏幕上的信息copy到文件中。这个如果在该路径下没有这个文件，则会创建这个文件：

del删除文件

del 文件名

可以是任意文件，如果是del *.txt是删除所以txt作为扩展名的文件

del *.*是删除所有文件

del *.* /q是直接删除，不提醒

md创建文件夹

md 名字

attrib修改文件或文件夹属性

attrib参数: 

+h或-h:是将文件设置为hide隐藏或者不隐藏

+a或-a:是将文件设置为只读或者不是只读、

+s或-s:是将文件设置系统级别文件，这种文件会被单独隐藏起来，是除了-h的隐藏以外的另一种隐藏。

fsutil file createnew 文件名.类型 数字(x)

意思是：在某个路径下创建一个x个字节大小的文件。

如果结合attrib隐藏起来，此时就成为一个病毒了。

assoc改变文件关联性

意思是将某个扩展名结尾文件，让系统认为这种文件是另一种扩展名，可是不会改变这个扩展名。

以上是将.txt结尾的文件，改为exe性质的文件，系统会将所有的.txt结尾的文件看作.exe结尾的文件，因此会导致.txt结尾的文件无法正常运行。

并且这种文件的扩展名还不会被修改。

这样就改回来了。

 shutdown

-s是关机

-r是重启

-a是取消操作

-f是强制关机，不会有任何提示。

-t是设置时间

-c “某句话”，会将这句话打印在屏幕上

-h进入休眠

-l注销

ren重命名

ren 旧名字 新名字

%0在批处理语句后加上%0代表一直执行%0上面所有语句的代码。

变量名“errorlevel”这个变量是windows系统自带的变量，意思是如果使用这个变量的上一一条指令是执行成功的，那么此时这个变量的值为0，如果上一条指令执行失败，那么此时这个变量的值为1

taskkill 进程结束命令

/im指定进程的名称

/pid指定进程的pid

/f强制结束

这条命令将让桌面显示这个关闭，关闭后看不到windows桌面

ntsd也是结束进程，有一些进程taskkill无法结束，就可以用到ntsd，一般进程ntsd都可以删除，除非一些系统管理的进程以外。

结束进程时会加上-c q，主要意思是使用ntsd任何再关闭ntsd，

-p是指定pid

-pn是指定进程

ntsd -c q -p pid

ntsd -c q -p xxx.exe

winlogon.exe是用户登录程序，不能结束该进程，如果用ntsd强制结束，就会出现蓝屏:

 但是win7开始，ntsd被微软取消使用，不过可以在网上下载ntsd，然后导入电脑。