Board logo

标题: [系统相关] 病毒进程的网络连接ip怎么用批处理查出并用ipseccmd.exe创建ip策略阻止肉机与主机通信 [打印本页]
作者: 04235    时间: 2013-6-27 22:51     标题: 病毒进程的网络连接ip怎么用批处理查出并用ipseccmd.exe创建ip策略阻止肉机与主机通信

pid为3704的是病毒进程(abc.exe)

这是他的网络连接ip

这是ipseccmd的代码(阻止的协议是任意)
如何用批处理获取pid=3704(abc.exe)的网络连接ip
再用批处理把此进程abc.exe的网络连接ip写入ipseccmd代码拉的红线代码里(重点是用纯批处理 不手动编辑)
作者: apang    时间: 2013-6-28 11:26

这样吗?
  1. @echo off&setlocal enabledelayedexpansion

  2. 

  3. >ok.bat echo ipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x ^>nul

  4. >>ok.bat echo ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x ^>nul

  5. 

  6. for /f "tokens=3" %%a in ('netstat -ao^|findstr "[^0-9]3704$"') do (

  7.    set "str=%%a"

  8.    if "!str:.=!" neq "!str!" (

  9.       for /f %%b in ("!str::= !") do (

  10.          >>ok.bat echo ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=%%b/255.255.255.255:: -n BLOCK -x

  11.       )

  12.    )

  13. )

  14. pause
复制代码
作者: 04235    时间: 2013-6-30 03:51

回复 2# apang


    我把问题具体了下,大概意思就是用一个批处理来知道(abc.exe)进程的网络连接ip,再用ipseccmd阻止与其ip任何协议的通信,
希望能指教。
作者: apang    时间: 2013-6-30 05:47

回复 3# 04235


    你的意思是不生成ok.bat文件?对ipseccmd命令不熟悉,没有测试
  1. @echo off&setlocal enabledelayedexpansion

  2. 

  3. ipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul

  4. ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nul

  5. 

  6. for /f "tokens=3" %%a in ('netstat -ao^|findstr "[^0-9]3704$"') do (

  7.    set "str=%%a"

  8.    if "!str:.=!" neq "!str!" (

  9.       for /f %%b in ("!str::= !") do (

  10.          ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=%%b/255.255.255.255:: -n BLOCK -x

  11.       )

  12.    )

  13. )

  14. pause
复制代码
作者: 04235    时间: 2013-6-30 06:20

本帖最后由 04235 于 2013-6-30 07:00 编辑

回复 4# apang


    刚测试了,两个都ok。能不能
  1. for /f "tokens=3" %%a in ('netstat -ao^|findstr "[^0-9]3704$"') do (
复制代码
中的3704改成进程,如abc.exe
回复 4# apang
作者: apang    时间: 2013-6-30 08:35

稍作修改应该就可以了
  1. @echo off&setlocal enabledelayedexpansion

  2. set "Name=abc.exe"

  3. 

  4. ipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul

  5. ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nul

  6. 

  7. set "wmic=wmic process where "name='%Name%'" get processid"

  8. for /f %%a in ('%wmic%^|findstr "^[0-9]"') do set "pid=!pid! [^^0-9]%%a$"

  9. 

  10. for /f "tokens=3" %%a in ('netstat -ao^|findstr "%pid:~1%"') do (

  11.    set "str=%%a"

  12.    if "!str:.=!" neq "!str!" (

  13.       for /f %%b in ("!str::= !") do (

  14.          ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=%%b/255.255.255.255:: -n BLOCK -x

  15.       )

  16.    )

  17. )

  18. pause
复制代码
作者: wskwfkbdn    时间: 2013-7-18 07:36

回复 1# 04235
    你都知道是病毒进程了,为啥不杀掉,却是阻止网络连接,难道你是养马的,啥逻辑思维,难以理解,
作者: wskwfkbdn    时间: 2013-7-18 07:37

把进程一结束,然后删除,不更省事了,也没了后顾之忧,



欢迎光临 批处理之家 (http://bathome.net./) Powered by Discuz! 7.2