海阳顶端头条号,专注黑客知识普及,提高大众网络安全意识。今天在这里普及两个黑客小知识,就是黑客在渗透后的机器里,如何判断出这是一台笔记本还是台式机?是一台真实物理机器,还是一台虚拟机。黑客做出这些判断是非常必要的,因为笔记本有可能要移动办公,虚拟机有可能是蜜罐。
一、判断是笔记本还是台式机
(1)人人都会的办法,如果木马里有抓图的功能,看下已被种马机器的电脑桌面是否有电池图标。
如果你有丰富的经验,你甚至能猜测出我用的是什么笔记本,如果能猜出,在文章评论里评论一下吧。
(2)用VBS来判断一下吧,代码如下:
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colChassis = objWMIService.ExecQuery _
("Select * from Win32_SystemEnclosure")
For Each objChassis in colChassis
For Each strChassisType in objChassis.ChassisTypes
Wscript.Echo strChassisType
if strChassisType=10 then
wsh.echo "notebook"
end if
Next
Next
这段代码你保存成vbs后双击就可以知道结果了。黑客们是不会傻呼呼双击的,在命令行底下,按照我的办法来,保存成1.txt,执行:
cscript /e:vbs 1.txt
改成txt后缀是为了更好地躲避杀毒软件的,尽管我们的这段代码里没有恶意代码,这里判断出是笔记本。值得说明的是,这段代码判断得并不是特别准,因为新的机型现在很多了,像一体机都有了。
二、判断是真实主机还是虚拟机
这里主要判断是否是用得zui多的VMware 虚拟机(像Oracle VM VirtualBox暂且不在讨论范围内),判断的依据是否有vmtoolsd.exe这个进程。
(1)执行命令:tasklist |find "vmtoolsd.exe",下图显示明显是虚拟机。
(2)VBS代码实现,代码如下:
Set w = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
set pa=w.execquery("select * from win32_process")
For Each p In pa
If LCase(p.caption) = LCase("vmtoolsd.exe") Then
wsh.echo "virtual machine"
end if
next
执行cscript /e:vbs 2.txt,没有回显出虚拟机来,下图是真实机器的执行结果。
这几天闲着无聊,去了其他的几个黑客头条号看了下,真是让我抓狂,人家随便在freebuf上抄几篇黑客资讯文章,连标点符号都不变,访问量都是我几十倍,何必像我这样费心尽力呢?但这种做法真是为我不齿的,无论如何,我还是坚持我的原创,坚持我的精品创作,我的黑客文章里的错别字都几乎是没有的,也希望关注我的人能和我一起在黑客技术上进步。
以上内容来源于网络,由“WiFi之家网”整理收藏!
评论