一个有趣的小窍门

无聊，cmd /?后看见好多东西，其中有个好玩的：
*******************
如果 /D 未在命令行上被指定，当 CMD.EXE 开始时，它会寻找
以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或
两个都存在，这两个变量会先被执行。

HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/AutoRun

和/或

HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun
******************
呵呵，又是一个放后门的好地方。我用@c:/InjShell.exe svchost.exe 1026 >nul 后，打开CMD什么异常现象都没有(当然不包括c:/InjShell.exe)。如果用net user mix /add & net localgroup administrators mix /add 岂不是成了《不死帐号》续集？大家自己琢磨吧~~~

有人问具体的做法，随手写写，还不懂的话，就是我的表达能力有问题了 ：）呵呵

先用regedit打开HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor或HKEY_CURRENT_USER/Software/Microsoft/Command Processor ，看见这个主健下是不是有AutoRun健，将AutoRun键值改为你想要得命令即可。比如我上面用的用@c:/InjShell.exe svchost.exe 1026 >nul ，有人使用cmd的话，就会自动执行你设置的命令。

我发现我和亲戚、朋友出来玩的话，一般都是要去网吧上那么一阵网，今天也不例外。

和表弟上了一阵后，便准备下机，但是表弟一定要将QQ的资料删掉才肯走，这个网吧是用的无盘系统，他试了半天也进不了QQ目录。呵呵，我当然是轻而易举的点进去了（有过一定的研究），随意一看，马上傻眼了---装了冰河。晕！！！

用冰河的客户端一搜，网吧没一台机子幸免于难，服务端还设了密码~~~太毒了！本来想用冰河的漏洞将其全部毁灭，但是他用的这个版本偏是修订过了，服务端程序又不小心被我删掉了，网吧又不允许下载，要不我又可以重新下个新的。我表弟就一撒手，一定要我帮他搞定，害得我急火攻心（我的QQ哇），什么都不记得拉。

正好，又有2个人上机（同时按下电源），估计网吧的电源线路稳压不够，而且我们坐的这台机子电源也不是什么好家伙，跟着就重起了。算了算了，我拉着表弟去结账，马上换家安全点的网吧该密码就是的。

一路上，我表弟都在糗我：“总看你讲安全，安全意识还没我高，要不是我要删QQ资料，密码怎么被该都不会知道怎么回事！...到了关键时候，一个冰河都搞不定，逼得要改密码！...哼哼~~~”---我晕列！！！

换了个网吧后，我的心早就安定了，同样的无盘网吧（一个公司做的）三下五除二就突破了网吧的禁止下载等限制。先看看进程列表中没有可疑项，打开msconfig看看启动文件，恩！这个网吧的这台机子似乎没有什么安全问题，是该密码的时候了。最后，找了个冰河扫了扫7626，没有幸运儿。

最后，又到了总结的时候了。通过这件事，我学到了以下4点：
1.万事都要小心，安全第一。下回上网吧，一定先检查一下进程列表。
2.万事的处理都需要一颗平静的心，有待加强。
3.不管怎么样，发现密码有可能泄漏之后，该密码是必然的！就像发现被入侵之后，很多安全专家建议马上重装系统一样---最可靠的方法。
4.冰河可以用查看无盘系统主机上隐藏的资源，是我现在发现的最方便的一种办法（像在用资源管理器）。

哦哦哦，好！我终于有办法了，这样做了以后，不知道的话就很难删掉这个目录了，当然不包括format。呵呵~~~

大家应该知道window对像com1、com2、aux、lpt1这些系统设备名有保护，也就是讲我们不能建立以这些名字为名的目录。这样的话，如果我有能力建立这样的目录，那我们就可以实现对目录的保护了。

今天，不想上网，所以就消化一下以前下的教程，看到这样一篇文章：《如何在PUB上面建立一个隐秘的、受保护的目录？》，其作者只是使用flashFXP完成的操作，其他软件没有尝试。呵呵~~~果然有所启发，取其中比较重要的一段话让大家看看：
**************************
总结:
基本意思是说必须在NT系统下,你可以创建任何目录如果你在目录名后面加/(1)/,包括那些平时不能建立的com1,com2,aux,lpt1等等.比如你创建了com1/(1)/,包括你在内的所有人都不能访问,只有再创建com1/aaa/(1)/,用/com1/aaa/就可以访问了,而aaa这个名字你不说谁也不知道.还有很重要一点,很多情况下只有用flashfxp才可以建立这些目录,另外如果发现根目录下有tagged,by xxx等字样的尽量不要使用,这说明有人正在用,一般的规矩是如果tagged超过一个月就可以使用,但是在根目录建立tagged有一定危险性,因为网官很容易发现.
****************************

根据上面介绍的技巧，自己实践一下后发现直接用md com1/(1)/是不行的，但是我又试了其它几种方法，如：md com1/(1)/ 、md com1/ / 等等，都不行。最后终于发现可以用md com1/ 可以建立名为com1的目录（同时还会在com1同级目录下建立一个名为1的目录），然后又用md com1/mix/ 命令就可以在com1下建立mix目录（同时还会在com1同级目录下建立一个名为2的目录），这时我们可以在CMD环景下将你想要的文件等copy到com1/mix/下去。如果，管理员想在资源管理器中点开com1目录，将会死机，只能通过在CMD环景下dir com1/*.*这样访问文件。删除这个目录只能先将这个目录下的东西清空，然后通过命令rd com1/ /将其删掉。

卡卡~~~一个小窍门而已，好玩！