洞洞! | 原喵空间

正文

清理系统垃圾批处理里面发现恶意代码!

作者:Q_Lucky
本文转载自360论坛,仅供参考
首先,让我们来了解一下代码结构 一、函数结构图纸 del /? 删除一个或数个文件。 DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names ERASE [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names names 指定一个或数个文件或目录列表。通配符可被用来 删除多个文件。如果指定了一个目录,目录中的所 有文件都会被删除。 /P 删除每一个文件之前提示确认。 /F 强制删除只读文件。 /S 从所有子目录删除指定文件。 /Q 安静模式。删除全局通配符时,不要求确认。 /A 根据属性选择要删除的文件。 attributes R 只读文件 S 系统文件 H 隐藏文件 A 存档文件 - 表示“否”的前缀 如果命令扩展名被启用,DEL 和 ERASE 会如下改变: /S 开关的显示句法会颠倒,即只显示已经删除的文件,而不显示找不到的文件。 二、系统变量解释 在批处理中,有很多变量代码,被%*%所扩 现在,看看有哪些系统变量 %homedrive%——系统盘根目录(常指代安装系统的硬盘分区C:等,并无其他扩展支持路径) %systemroot%——系统盘根目录(常指代安装系统的硬盘分区C:等,并无其他扩展支持路径) %TEMP% 和 %TMP%——系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP,而其他应用程序则需要 TMP。 %WINDIR%——返回操作系统目录的位置。(常见的是C:\WINDOWS) 三、分析笔误 原帖http://bbs.360.cn/4004079/40191497.html 批处理如下:
@echo off echo 正在清除系统垃圾文件,请稍等...... del /f /s /q %systemdrive%\*.tmp del /f /s /q %systemdrive%\*._mp del /f /s /q %systemdrive%\*.gif del /f /s /q %systemdrive%\*.log del /f /s /q %systemdrive%\*.gid del /f /s /q %systemdrive%\*.chk del /f /s /q %systemdrive%\*.old del /f /s /q %systemdrive%\recycled\*.* del /f /s /q %windir%\*.bak del /f /s /q %windir%\prefetch\*.* rd /s /q %windir%\temp & md %windir%\temp del /f /q %userprofile%\cookies\*.* del /f /q %userprofile%\recent\*.* del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*" del /f /s /q "%userprofile%\Local Settings\Temp\*.*" del /f /s /q "%userprofile%\recent\*.*" echo 清除系统LJ完成! echo. & pause
1. del /f /s /q %systemdrive%\*.old 改成 del /f /s /q %systemroot%\*.old 解释:*.old是某些程序的备份文件,例如备份的boot.ini默认为boot.bak或者boot.old,如果删去,在boot还原时会造成系统无法启动 笔误分析:系统盘根目录下的OLD,特别是boot.old更可能是灰鸽子种子文件,建议删除根目录下的OLD,其他不做更改 2. del /f /s /q %systemdrive%\*.gif 删去 解释:执行这段代码会造成在系统盘中的图片文件被删除 笔误分析:还是系统根目录下的文件,研究证明,系统盘根目录下的GIF会生成更大的LJ,只要不把GIF图片放在C盘根目录就是了 3. del /f /s /q %systemdrive%\*.log 改成 del /f /s /q %systemroot%\*.log 解释:执行源代码会造成一些程序无法卸载,甚至记录丢失,对系统有极大危害,会造成大量的垃圾文件和碎片。 笔误分析:这个倒还有理,不过在系统盘根目录里,根本没有LOG文件 4. del /f /s /q %systemdrive%\recycled\*.* 建议删除 解释:执行该代码会导致回收站被清空,如果有些时候回收站的有用文件也会被删除 笔误分析:很有才! 5. 另外对这个脚本作下解释,这个本子几乎没用,他唯一有用的代码是: del /f /s /q %systemdrive%\*.tmp del /f /s /q %systemdrive%\*._mp 放在%systemroot%下,这两个根本没用,改成 del /f /s /q %temp%\*.tmp 吧 6. 能够清理出不到10MB的系统空间仅此而已 叹息,我发现这个代码的时候已经太晚了,这个可恶的所谓高手制作的脚本已经危害了不少网友,我发现这个也是个网友问我的,他家电脑运行出现问题,我才发现是这个闹得,请大家转发,转告更多人,防止造成更多不必要的损失!

回复

关于新的it你好板块

作者:Q_Lucky
关于新的it你好板块 可能宅宅点进去会被里面的数据量吓到 这是很久很久以前我维护了一个运行在5d6d名叫 it你好技术论坛 的网站。这里面保存的是那个时候的回忆 嗯。已经过去将近10多年了。 虽然看起来废铜烂铁比较多囧
查看回复
上一页
下一页
0%
站点地图友情链接:
喵宅苑
喵空间社区程序
络合兔
技术宅
莉可POI
Mithril.js
枫の主题社
Project1
午后少年
机智库
七濑胡桃
xiuno
幻想の博客