一 前言

翻开网络上的入侵资料看看吧！大多数的入侵都是在cmd下完成的，比较典型的有溢出得到一个system权限的cmdshell，然后种植一个Tcmd之类绑定了cmd.exe的后门。也有利用web程序的漏洞得到一个webshell然后利用低权限的cmdshell来提升权限，最后再种植后门……各种各样的攻击都说明入侵和cmd.exe是相关的，因为一个cmd.exe就是一个用户与系统交互的一个接口，是入侵者进入系统的首要目标。当然，我们不能在这里坐以待毙，如何防止别人通过溢出得到你的cmdshell，如何知道别人已经进入系统并且获得cmdshell，如何在人家登陆到我们机器的时候抓住入侵者呢？现在就让我们打造一个cmd下的终极防线吧。

二 原理

网络上谈得比较多的一种防范的方法是将cmd.exe设置权限，这样的确可以起到很大的作用，但是权限比较难以确定，并且如果别人自己上传cmd.exe的话还是可以突破的，然后用nc绑定cmd.exe到一个端口还是可以得到cmdshell。今天我给大家介绍一种新的方法，不用设置cmd的权限哦！首先说说原理，还是打开你的cmd命令窗口，运行命令cmd /?，看看得到了什么吧！如图一。注意以下内容：

如果 /D 未在命令行上被指定，当 CMD.EXE 开始时，它会寻找以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或两个都存在，这两个变量会先被执行。

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun

和/或

HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun

也就是说如果存在HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun和HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun这两个键值并且你不是用cmd.exe /D启动cmd进程的话会在启动cmd.exe之前先去执行这两个键值指定的程序。嘿嘿，想到什么了，既然可以先于cmd.exe之前执行自己的程序或者脚本，我们就完全可以控制cmd.exe的动作了。

[1] [2] 下一页