批处理之家 - Powered by Discuz! Board

标题: [系统相关] 批处理怎样获取系统信息并操作？ [打印本页]

作者: bluewing009 时间: 2009-12-14 11:25 标题: 批处理怎样获取系统信息并操作？

获取系统信息并操作。

我还没有思路，请大家帮忙....................

1.注册表比如用reg add添加一个表项后，发现该项被某一exe删除了求如何知道是哪个程序删除的

2.某一进程，有一个或多个互相守护的进程（关闭任何一个可相互复活），求关闭这种进程的方式（已知主进程名，守护进程数量，名称未知）

要求：使用bat，尽量不使用第三方程序（可以使用辅助命令行程序，但是不要使用像冰刃之类的）

[ 本帖最后由 bluewing009 于 2009-12-14 13:14 编辑 ]

作者: bluewing009 时间: 2009-12-14 20:38

希望各位能提供些办法…期待ing o∩_∩o 让自己的帖子浮起来 #^_^

[ 本帖最后由 bluewing009 于 2009-12-16 16:52 编辑 ]

作者: luckboy45 时间: 2009-12-16 17:28

XP系统自带的工具--系统信息Msinfo32.exe

Msinfo32.exe 的用法
/? - 显示“帮助”对话框
/msinfo_file=文件名 - 打开指定的 .nfo 或 .cab 文件
/nfo 或 /s 文件名 - 将 .nfo 文件输出到指定的文件
/report 文件名 - 将文本格式的文件输出到指定的文件
/computer 计算机名 - 连接到指定的计算机
/categories (+|-)(all | 类别名) +|-(类别名)...- 显示或输出指定的类别
/category 类别名 - 在启动时将焦点设置到特定类别
由于我们一般只需要获取软件环境信息，所以我们这边就只了解下此程序的软件环境的子类别开关名称
软件环境的子类别
子类别标题子类别开关
===================================================
驱动程序 SWEnvDrivers
环境变量 SWEnvEnvVars
作业    SWEnvJobs
网络连接 SWEnvNetConn
正在运行任务 SWEnvRunningTasks
加载的模块    SWEnvLoadedModules
服务    SWEnvServices
程序组    SWEnvProgramGroup
启动程序 SWEnvStartupPrograms
OLE 注册 SWEnvOLEReg

示例：
获取环境变量:
●start /wait msinfo32.exe /report c:\windows\temp\Startup.txt /categories swenv+SWEnvEnvVars●
获取程序组信息（可以获取到目标服务器所安装的软件信息）:
●start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categories swenv+SWEnvStartupPrograms●
获取启动程序相关信息:
●start /wait msinfo32.exe /report c:\windows\temp\Startup.txt /categories swenv+SWEnvStartupPrograms●
注意：示例中使用了 start /wait 开关，以便从 Cmd.exe 命令提示符处执行批处理文件和/或命令行。要启动 Msinfo32.exe，必须使用 start 开关；如果使用 /wait 开关，则在当前项目完成之前，将不会处理下一个项目。使用 start /wait 开关可以确保计算机不会因为某些 Msinfo32.exe 类别占用大量 CPU 时间而发生过载。

作者: bluewing009 时间: 2009-12-17 07:31 标题: 回复 3楼的帖子

…………就算你用C+U也要弄个和我问题符合的啊
-_-||

作者: zqz0012005 时间: 2009-12-17 08:52 标题: 回复 1楼的帖子

1、不可能。

2、根据父进程PID找出所有守护进程。

作者: bluewing009 时间: 2009-12-17 12:02 标题: 回复 5楼的帖子

第一个直接判死刑了？
有程序可以，但是我想用bat 。对于第二个问题不是很清楚，请描述下，或给出用到的命令（能给出代码更好）

作者: Batcher 时间: 2009-12-17 12:20 标题: 回复 6楼的帖子

能否说说哪个程序可以？

作者: bluewing009 时间: 2009-12-17 17:29 标题: 回复 7楼的帖子

是用API截取的。还有HIPS类的也可以做到比如俄罗斯的SSM

作者: bluewing009 时间: 2009-12-18 23:12 标题: 让帖子浮起来

再一次刷新，希望能看到解决办法。

作者: bluewing009 时间: 2009-12-20 21:01

刷新~~ t帖子浮起来~

作者: Batcher 时间: 2009-12-20 23:15

你先试试开启审核策略，看看系统是否会把对注册表的修改记录到日志里面。

作者: bluewing009 时间: 2009-12-20 23:38 标题: 回复 11楼的帖子

一会试试。那第二个问题呢？

作者: Batcher 时间: 2009-12-21 23:23 标题: 回复 12楼的帖子

没有合适的环境，不方便做测试。

下次有不同的问题，建议分开发帖。

作者: bluewing009 时间: 2009-12-22 14:42

哦，因为都是获取进程信息额的。就放在一起了。

作者: zqz0012005 时间: 2009-12-22 19:16

还是说详细点

taskkill /f /im 已知主进程名
monitor 主进程名的创建
wmic 获取新创建主进程名的父进程PID
taskkill干掉再del掉

重复以上过程（当然监视过程也是一个循环），守护进程被其他守护进程启动也一样可以处理，多重复几次。

欢迎光临批处理之家 (http://bathome.net./)