|
|
黑客在入侵我们电脑系统后,为了防止被发现,一般都是建立一个账户(当然是隐藏账户,账户名前加$即可隐藏,不过在安全策略中能看见),然后提权为管理员,再运行CMD中的各种DOS命令远程溢出控制。我们必须禁用CMD!
电脑系统的CMD启动有两种方式,一是在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun或者HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun下面有值,CMD启动就运行它们;二是CMD /d方式运行,略过上面两个键值。
不过一般都是以方式一运行CMD的,我们可以建个批处理(a.bat)文件,来增加用户验证和日志功能。代码如下:
@echo off
setlocal
set times=2
title login
:login
set /P username:
if %user%==chqk1108 goto password
:check rem 验证部分
title check
echo 输入错误,请重新输入,你还有%times%机会
set /A times=%times%-1
if %times%==0 goto log
goto login
:log rem 日志记录部分
title log
echo time:%time% date:%date%>log.txt
echo ip:>>log.txt
netstat -n|find "ESTABLISHED">>log.txt
set /P msg=username is wrong ,please leave your message:
echo message:>>log.txt
echo goodbye
pause
exit
:password
set /P password:
if %passwd%==123456 goto welcome
goto check
:welcome
cls
ver
cmd /D
这样只有用户:chqk1108,登陆密码为:123456的用户可以使用CMD了,而且能防止暴力破解,还能形成攻击者日志(log.txt文件),这时我们就能顺藤摸瓜,找到入侵者进行反击了!(至于怎么反击,不是本文讨论的范围)。 |
|
发表于 2010-5-6 13:34:10
收藏
淘帖
支持
反对
赞(
提升卡
变色卡
2L
楼主