Board logo

标题: [原创][安全类脚本]VBS版进程放大镜 [打印本页]

作者: somebody    时间: 2007-12-11 00:10     标题: [原创][安全类脚本]VBS版进程放大镜

代码结构因为论坛的原因浏览起来不美观,建议下载notepad++ 浏览效果更好。
notepadd++ 下载地址:http://nchc.dl.sourceforge.net/s ... p.4.6.Installer.exe


脚本主功能:
             分析注入进程的模块信息:
                                 1. 通过判断模块文件制造商
                                       2. 通过判断模块文件创建时间

Tips:
      1. 保存代码为ProcessMagnifier.vbs,直接双击ProcessMagnifier.vbs 即可
      2. 整个过程大概需要1分钟,主要看进程个数以及CPU空闲情况而定,请尽量让脚本执行完毕不要中途退出
      3. 若需要终止脚本,按 CTRL+C 即可,强烈建议不要
      4. 脚本自动帮你开启了快速编辑模式,你可以很方便地进行必要复制
      5. 其中对注册表的修改是为了浏览美观,任何时候退出程序都会还原对注册表的修改,放心使用
      6. 脚本执行完毕后只需鼠标右键单击CMD窗口并且回车即可重复执行脚本
      7. 建议执行脚本前关闭所有IE浏览器,因为执行脚本过程若你的IE浏览器是打开的,这时会弹一个空白页 about:blank
      8. 代码已经测试
      9. 申请月精华
下载地址:http://kimhoo.lin.googlepages.com/ProcessMagnifier.vbs
  1. ' FileName: ProcessMagnifier.vbs
  2. ' Function: Capture information about the running processes in detail
  3. ' code by somebody
  4. ' QQ: 240460440
  5. ' LastModified: 2007-12-9  18:50
  6. const HKEY_CURRENT_USER = &H80000001
  7. Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")
  8. strKeyPath = "Console\%SystemRoot%_system32_cmd.exe"
  9. oReg.CreateKey HKEY_CURRENT_USER,strKeyPath
  10. strValueName1 = "CodePage"
  11. dwValue1 = 936
  12. strValueName2 = "ScreenBufferSize"
  13. dwValue2 = 98304200
  14. strValueName3 = "WindowSize"
  15. dwValue3 = 2818173
  16. strValueName4 = "HistoryNoDup"
  17. dwValue4 = 0
  18. strValueName5 = "WindowPosition"
  19. dwValue5 = 131068
  20. strValueName6 = "QuickEdit"
  21. dwValue6 = 2048
  22. oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName1,dwValue1
  23. oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName2,dwValue2
  24. oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName3,dwValue3
  25. oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName4,dwValue4
  26. oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName5,dwValue5
  27. oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName6,dwValue6
  28. Dim objWSH, FinalPath
  29. Set objWSH = WScript.CreateObject("WScript.Shell")
  30. If (Lcase(Right(WScript.Fullname,11))="wscript.exe") Then
  31.    FinalPath = "'" & WScript.ScriptFullName & "'"
  32.    objWSH.Run("cmd.exe /k cscript //nologo " &Replace(FinalPath,"'",""""))
  33.    WScript.Quit
  34. End If
  35. oReg.DeleteKey HKEY_CURRENT_USER, strKeyPath
  36. Set oReg = nothing
  37. Wscript.Sleep 1000
  38. Mystr = Array(115,111,109,101,98,111,100,121)
  39. for i=0 to Ubound(Mystr)
  40.     author=author&chr(Mystr(i))
  41. next
  42. Wscript.Echo vbCr
  43. Wscript.echo "  code by " & author
  44. Wscript.echo "  LastModified: 2007-12-9  18:50"
  45. Wscript.Sleep 2000
  46. Wscript.Echo vbCr
  47. str1 = "                               ╭━━╮╭━━╮╭╭━╮╭━━╮╭━━╮╭━━╮┏━━╮╭╮╭╮"
  48. str4 = "                               ╰━╮┃┃┃┃┃┃╭╮┃┃╭━╯┃╭╮╮┃┃┃┃┃┃┃┃?┃┃?"
  49. str6 = "                               ╰━━╯╰━━╯╰╯╰╯╰━━╯╰━━╯╰━━╯┗━━╯?╰╯?"
  50. str3 = "                               ┃╰━╮┃┃┃┃┃┃┃┃┃╰━╮┃╰╯╯┃┃┃┃┃┃┃┃╰╮╭╯"
  51. str5 = "                               ╭━╯┃┃╰╯┃┃┃┃┃┃╰━╮┃╰╯┃┃╰╯┃┃╰╯┃?┃┃?"
  52. str2 = "                               ┃╭━╯┃╭╮┃┃??┃┃╭━╯┃╭╮┃┃╭╮┃┃╭╮┃┃╰╯┃"
  53. myArray = Array(str1,str2,str3,str4,str5,str6)
  54. For each str in myArray
  55.     Wscript.Echo str
  56. Next
  57. WScript.Echo
  58. WScript.Sleep 3000
  59. WScript.Echo "当前正在运行的进程简要信息列表如下:"
  60. WScript.Echo vbCrLf
  61. WScript.Sleep 2000
  62. Dim MyOBJProcessName
  63. Set OBJWMIProcess = GetObject("winmgmts:\\.\root\cimv2").ExecQuery("Select * From Win32_Process")
  64.          WScript.Echo "Name:               Priority:   PID:    Owner:" &vbTab&vbTab&"ExecutablePath: "
  65.          WScript.Echo "---------------------------------------------------------------------------------------"
  66.                  For Each OBJProcess in OBJWMIProcess
  67.          MyOBJProcessName=OBJProcess.Name&"                    "
  68.                  colProperties = OBJProcess.GetOwner(strNameOfUser,strUserDomain)
  69.          WScript.Echo Mid(MyOBJProcessName,1,20) &vbTab& OBJProcess.Priority &vbTab& OBJProcess.ProcessID &vbTab& strNameOfUser &vbTab&vbTab& OBJProcess.ExecutablePath
  70.          Next
  71.         
  72. WScript.Sleep 5000
  73. WScript.Echo vbCrLf
  74. WScript.Echo "当前正在运行的进程以及其加载的模块详细信息树状结构如下:"
  75. WScript.Echo vbCrLf
  76. WScript.Sleep 3000
  77. WScript.Echo vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab&vbTab& vbTab&"创建时间             文件制造商"
  78. Set OBJWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
  79. Set OBJRefresher = CreateObject("WbemScripting.SWbemRefresher")
  80. Set colItems = OBJRefresher.AddEnum(OBJWMIService,"Win32_PerfFormattedData_PerfProc_FullImage_Costly").ObjectSet
  81. OBJRefresher.Refresh
  82. For Each OBJItem In colItems
  83.     Dim originalPath, ModulePath, WMIPathMode, FileManufacturer, LCaseModulePath
  84.         Dim FileExtension, mark, MyLCaseModulePath, FinalModulePath
  85.     originalPath = OBJItem.Name
  86.     ModulePath = Split(originalPath,"/")
  87.     WMIPathMode = Replace(ModulePath(1),"\","\\")
  88.     Set OBJWMI = GetObject("winmgmts:\\.\root\CIMV2")
  89.     Set colManufacturer = OBJWMI.ExecQuery("SELECT * FROM CIM_DataFile Where Name='" & WMIPathMode & "'")
  90.     For Each OBJManufacturer In colManufacturer
  91.            FileManufacturer=Trim(OBJManufacturer.Manufacturer)
  92.            LCaseModulePath=LCase(Trim(OBJManufacturer.Name))
  93.            FileExtension=Right(LCaseModulePath, 3)
  94.            MyLCaseModulePath=LCaseModulePath & "                                                                                                                "
  95.             Set FSO = CreateObject("Scripting.FileSystemObject").GetFile(LCaseModulePath)
  96.                              If FileExtension="exe" Then
  97.                         mark="├—"
  98.                             FinalModulePath=Mid(MyLCaseModulePath,1,118)
  99.                             WScript.Echo "│"                                
  100.                     Else
  101.                 mark="│├─"
  102.                             FinalModulePath=Mid(MyLCaseModulePath,1,116)
  103.                     End If
  104.             WScript.Echo mark & FinalModulePath & FSO.DateCreated &vbTab& FileManufacturer                        
  105.         Next
  106. Next
  107. MyVBSPath = "'" & WScript.ScriptFullName & "'"        
  108. Myclipboard = "cscript //nologo " & Replace(MyVBSPath,"'","""")
  109. Set objIE = CreateObject("InternetExplorer.Application")  
  110. objIE.Navigate("about:blank")  
  111. objIE.document.parentwindow.clipboardData.SetData "text", Myclipboard
复制代码

[ 本帖最后由 somebody 于 2007-12-11 16:12 编辑 ]
作者: 随风    时间: 2007-12-11 17:04

原来还有一帖在这里,我说没看见
好。
作者: youxi01    时间: 2007-12-12 13:54

年轻人就是年轻人啊,还是一片浮躁心理.
作者: novaa    时间: 2007-12-15 14:23

收藏了!




欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2