中国DOS联盟论坛 - Powered by Discuz! Board

标题: [已解决]能否更改批处理脚本的进程名称？ [打印本页]

作者: 523066680 时间: 2008-8-15 10:16 标题: [已解决]能否更改批处理脚本的进程名称？

中过某病毒隔几秒就结束一次cmd.exe进程……想写批处理杀都没办法
后来把cmd.exe跳出来改成a.exe然后执行，但是又不能一次性操作命令

虽然问题已经得到解决但还是想探讨下，能否改变批处理执行时的进程
已知相关的命令 assoc 和ftype
（当然不可随便测试，怕怕……）

[ Last edited by 523066680 on 2009-3-14 at 22:24 ]

作者: huahua0919 时间: 2008-8-15 10:26
要是象你这样的写批处理进行杀，也要象病毒一样写个循环。那你的mermoy and cpu 耗费太高了，就别在做其他的事情。
我建议写个批处理，将所有你认为可能被病毒暂用的资源写到一个文本文件中。然后慢慢核对
首先的一定就是进程了
可以用wmic process or tasklist 加参数

作者: 523066680 时间: 2008-8-15 10:44
有核对的…………有的……
顺便问下有没有办法改变cmd这个进程而已……不介意吧

还有就是我有做过，但一般不是用循环的都是想办法获得病毒的消息
然后在一次搞定……不过病毒的结束进程速度快了些做起来要速度快……累

主要是想知道可否改变批处理执行时的进程或许可以建立新的关联格式如：.cnd 然后让这种格式的文件执行起来像批处理一样，但进程又不是cmd.exe

不知可以实现否……

[ Last edited by 523066680 on 2008-8-15 at 05:01 PM ]

作者: slore 时间: 2008-8-15 12:08
copy cmd.exe mypro.exe
关联到mypro

作者: 523066680 时间: 2008-8-15 16:16
就是不太会用这个命令还请前辈指点一二

作者: HAT 时间: 2008-8-15 16:20
这样可以吗？

@echo off

copy "%windir%\system32\cmd.exe" .\SMSS.exe

start SMSS.exe

作者: huahua0919 时间: 2008-8-15 16:26
如果你copy cmd.exe wscript.exe
然后你写批处理程序改后缀名为.vbs，产生进程wscript.exe。就屏蔽掉你的cmd.exe
当然要先备份wscript

作者: 523066680 时间: 2008-8-15 17:00
6楼的东西我知道只做到了这一步……
只是成功使一种文件执行是像命令行一样并且进程也得到改变。
但最后的疑问是。能否改变--批处理的进程？
类似这样，在一个文本写入
echo a
pause
保存为 .ccc格式打开的时候，让他像批处理一样
（我试的时候这个东西打开来就是一个命令行晕）

作者: BC 时间: 2008-8-15 17:58
那么高难度,既要改关联,又要改进程名...

作者: 523066680 时间: 2008-8-15 21:25
hat看看呐！！！怎么没人理我！！……我快郁郁而终啦
你们都没给我一个完整的说法……

作者: HAT 时间: 2008-8-15 21:44
google搜索"修改文件关联 ftype assoc"
"注册表修改文件关联"

作者: 523066680 时间: 2008-8-15 21:46
这样子啊……看来很麻烦我不搞了……

作者: HAT 时间: 2008-8-15 21:55
很简单啊，两种方法都是一两行代码解决问题。

作者: 523066680 时间: 2008-8-16 08:55
大哥就教下我吧别卖关子了给个实例谢谢啦~￥#W3@^EFV

作者: HAT 时间: 2008-8-16 11:56
google上的例子很多啊，尽快学会用google

作者: qinbuer 时间: 2008-8-16 18:25
assoc和ftype有什么好怕的？都是操作注册表而已，assoc另外自带了刷新的功能，
ftype/? 已经说得很明白了啊，比如，要用batch edit关联所有的批处理：

ftype Script="C:\我的工具\Batch Edit\Batch Edit.exe" %1 %*

assoc .bat=Script

作者: huahua0919 时间: 2008-8-16 19:54
如果让我去做肯定不会象LZ这样痛苦的去刻意改系统进程名.
治病要治本啊.不过你这个病毒循环检查的反应还挺慢的.
我曾经中过一个毒.我插上U盘后病毒就自动进来了,由于是网吧电脑我就没管他.于是就写了个循环只要检查U盘存在病毒就删除,但最后我拔下U盘后,病毒还是在我的U盘里面
这个速度比刘翔的百米跨栏还快.~.`

作者: 523066680 时间: 2008-8-16 20:01
哎病毒已经不是问题我只是由此想到能否改变进程这个问题而已……
我去google去……只是在学习……
病毒这种东西 ……只要我不主动开，一般都没事……

16楼的当然说简单啦……我除了批处理什么都不知道啊
而且，开学的时期只能一个星期上一次网，注册表都不敢动……
所以还需要很多指教啊，既然hat说Google 那我就去找吧……

[ Last edited by 523066680 on 2008-8-16 at 08:02 PM ]

作者: huahua0919 时间: 2008-8-16 20:10
注册表基本上了解一下开个刀什么的没问题
我看罗云彬的书看晕了，太深奥！

作者: 523066680 时间: 2008-8-16 20:31
汗我有个同学叫曾云彬

作者: 523066680 时间: 2008-8-16 20:31
我去google找吧不麻烦大家了

作者: dato 时间: 2008-8-17 00:37
copy cmd.exe mypro.exe
mypro.exe /c *.cmd
mypro.exe /k *.cmd

作者: flyinspace 时间: 2008-8-18 01:35
这个，修改注册表就可以了。不需要那么麻烦的。

作者: 523066680 时间: 2009-3-14 22:22
http://hi.baidu.com/plp626/blog/ ... 832fa7cd1166a5.html

plp网志给了解答哦
[点滴]防止cmd被杀

Quote:

网吧常杀cmd进程，下面方法可有效解决这个问题。

ren cmd.exe cnd.exe

运行bat文件方法：

cnd/c my.bat

法二：

ftype/？

assoc/?

cnd="C:\mytool\notepad2.exe" %1 %*
assoc .bat=cnd

---------------------------------------------------------------------

----006 真正的全屏打开网页
start "" "%systemdrive%\program files\internet explorer\iexplore.exe" -k "www.baidu.com

----007 进入一些特别的路径
我的电脑
   start ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
网络邻居
   start ::{208D2C60-3AEA-1069-A2D7-08002B30309D}
我的文档
   start ::{450D8FBA-AD25-11D0-98A8-0800361B1103}
回收站
   start ::{645FF040-5081-101B-9F08-00AA002F954E}

----008 禁用/解禁任务管理器
禁用：
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system /v DisableTaskMgr /t REG_DWORD /d 00000001
解禁：
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system /v DisableTaskMgr /f

----009 弹出光驱
mshta "javascript:new ActiveXObject('WMPlayer.OCX').cdromCollection.Item(0).Eject();window.close();"

----010 右键添加 "新建 zjw.bat" (不需重启)
reg add HKCR\.bat\ShellNew /v nullfile /f >nul
reg add HKCR\batfile /ve /d zjw /f >nul

----011 右键添加打开MS-DOS (不需重启)
reg add "HKCR\*\shell\ms-dos" /ve /d ms-dos /f
reg add "HKCR\*\shell\ms-dos\command" /ve /d "cmd.exe /k cd %%1" /f
reg add "HKCR\Folder\shell\ms-dos" /ve /d ms-dos /f
reg add "HKCR\Folder\shell\ms-dos\command" /ve /d "cmd.exe /k cd %%1" /f

----012 显示/隐藏扩展名
显示：
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000000 /f
隐藏：
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f

----013 显示/隐藏文件
显示：
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
                  ***第一句是显示一般隐藏文件，后两句加上就是显示系统隐藏文件
隐藏：将键值改“非“就可以了
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 0 /f
                  ***刷新后就隐藏了

----014 用*.inf 实现重启
echo [version] > reboot.inf
echo signature=$chicago$ >> reboot.inf
echo [defaultinstall] >> reboot.inf
rundll32 setupapi,InstallHinfSection DefaultInstall 1 reboot.inf
del reboot.inf