标题: [系统相关] 病毒进程的网络连接ip怎么用批处理查出并用ipseccmd.exe创建ip策略阻止肉机与主机通信 [打印本页]
作者: 04235 时间: 2013-6-27 22:51 标题: 病毒进程的网络连接ip怎么用批处理查出并用ipseccmd.exe创建ip策略阻止肉机与主机通信
pid为3704的是病毒进程(abc.exe)
这是他的网络连接ip
这是ipseccmd的代码(阻止的协议是任意)
如何用批处理获取pid=3704(abc.exe)的网络连接ip
再用批处理把此进程abc.exe的网络连接ip写入ipseccmd代码拉的红线代码里(重点是用纯批处理 不手动编辑)
作者: apang 时间: 2013-6-28 11:26
这样吗?- @echo off&setlocal enabledelayedexpansion
-
- >ok.bat echo ipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x ^>nul
- >>ok.bat echo ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x ^>nul
-
- for /f "tokens=3" %%a in ('netstat -ao^|findstr "[^0-9]3704$"') do (
- set "str=%%a"
- if "!str:.=!" neq "!str!" (
- for /f %%b in ("!str::= !") do (
- >>ok.bat echo ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=%%b/255.255.255.255:: -n BLOCK -x
- )
- )
- )
- pause
复制代码
作者: 04235 时间: 2013-6-30 03:51
回复 2# apang
我把问题具体了下,大概意思就是用一个批处理来知道(abc.exe)进程的网络连接ip,再用ipseccmd阻止与其ip任何协议的通信,
希望能指教。
作者: apang 时间: 2013-6-30 05:47
回复 3# 04235
你的意思是不生成ok.bat文件?对ipseccmd命令不熟悉,没有测试- @echo off&setlocal enabledelayedexpansion
-
- ipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
- ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nul
-
- for /f "tokens=3" %%a in ('netstat -ao^|findstr "[^0-9]3704$"') do (
- set "str=%%a"
- if "!str:.=!" neq "!str!" (
- for /f %%b in ("!str::= !") do (
- ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=%%b/255.255.255.255:: -n BLOCK -x
- )
- )
- )
- pause
复制代码
作者: 04235 时间: 2013-6-30 06:20
本帖最后由 04235 于 2013-6-30 07:00 编辑
回复 4# apang
刚测试了,两个都ok。能不能- for /f "tokens=3" %%a in ('netstat -ao^|findstr "[^0-9]3704$"') do (
复制代码
中的3704改成进程,如abc.exe
回复 4# apang
作者: apang 时间: 2013-6-30 08:35
稍作修改应该就可以了- @echo off&setlocal enabledelayedexpansion
- set "Name=abc.exe"
-
- ipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
- ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nul
-
- set "wmic=wmic process where "name='%Name%'" get processid"
- for /f %%a in ('%wmic%^|findstr "^[0-9]"') do set "pid=!pid! [^^0-9]%%a$"
-
- for /f "tokens=3" %%a in ('netstat -ao^|findstr "%pid:~1%"') do (
- set "str=%%a"
- if "!str:.=!" neq "!str!" (
- for /f %%b in ("!str::= !") do (
- ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=%%b/255.255.255.255:: -n BLOCK -x
- )
- )
- )
- pause
复制代码
作者: wskwfkbdn 时间: 2013-7-18 07:36
回复 1# 04235
你都知道是病毒进程了,为啥不杀掉,却是阻止网络连接,难道你是养马的,啥逻辑思维,难以理解,
作者: wskwfkbdn 时间: 2013-7-18 07:37
把进程一结束,然后删除,不更省事了,也没了后顾之忧,
欢迎光临 批处理之家 (http://www.bathome.net/) |
Powered by Discuz! 7.2 |