windows.組策略GroupPolicy.組策略指令碼編程相關收錄.WMI.WSH

收錄來自網路所有組策略指令碼應用相關程式，如您在閱讀中發現遺漏或錯誤請幫忙糾正，非常感謝！ 

目錄：

001·用組策略與指令碼實現自動分發印表機
002·登錄編輯程式解鎖
003·關閉Win NT/2000的預設共用
004·顯示本機IP地址
005·利用指令碼編程刪除日誌
006·利用指令碼偽造日誌
007·禁用開始菜單選項
008·執行外部程式
009·重新啟動指定的IIS服務
010·惡意VBS指令碼防範
011·類似Send to，將"捷徑"發送到指定目錄

用組策略與指令碼實現自動分發印表機

1：將下列文本另存新檔vbs檔案,並將其放於有效共用資料夾

Set WshNetwork = CreateObject("WScript.Network")
WshNetwork.AddWindowsPrinterConnection "//192.168.0.112/lbp-1210"
WshNetwork.SetDefaultPrinter "//192.168.0.112/lbp-1210"
WshNetwork.AddWindowsPrinterConnection "//192.168.0.112/Canon LASER SHOT LBP-1210 (new)"

2:在相應OU上運行使用者組策略-開機指令碼-輸入指令碼的完整的UNC路徑.

登錄編輯程式解鎖

DIM WSH
SET WSH=WSCRIPT.CreateObject("WSCRIPT.SHELL") '擊活WScript.Shell對象
WSH.POPUP("解鎖登錄編輯程式!")'顯示彈出資訊“解鎖登錄編輯程式!”
WSH.Regwrite"HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableRegistryTools",0,"REG_DWORD"
'給登錄編輯程式解鎖
WSH.POPUP("註冊表解鎖成功!")'顯示彈出資訊“註冊表解鎖成功!”

儲存為以.vbs為副檔名的檔案，使用時雙擊即可。

關閉Win NT/2000的預設共用

Dim WSHShell'定義變數
set WSHShell=CreateObject("WScript.shell") '建立一個能與作業系統溝通的對象WSHShell
Dim fso,dc
Set fso=CreateObject("Scripting.FileSystemObject")'建立檔案系統對象 
set dc=fso.Drives '擷取所有磁碟機盤符
For Each d in dc 
Dim str 
WSHShell.run("net share"&d.driveletter &"$ /delete")'關閉所有磁碟機的隱藏共用
next   
WSHShell.run("net share admin$ /delete")
WSHShell.run("net share ipc$ /delete")'關閉admin$和ipc$管道共用

　　現在來測試一下，先開啟cmd.exe，輸入net share命令就可以看到自己機子上的共用。雙擊執行stopshare.vbs後，會看見視窗一閃而過。然後再在cmd裡輸入net share命令，這時候沒有發現共用列表了

顯示本機IP地址

有許多時候，我們需要知道原生IP地址，使用各種軟體雖然可以辦到，但用VBS指令碼也非常的方便。用記事本編輯如下內容：Dim WS
Set WS=CreateObject("MSWinsock.Winsock")
IPAddress=WS.LocalIP
MsgBox "Local IP=" & IPAddress

將上面的內容儲存為ShowIP.vbs，雙擊執行即可得到本機IP地址。

利用指令碼編程刪除日誌
入侵系統成功後駭客做的第一件事便是清除日誌，如果以圖形介面遠端控制對方機器或是從終端登陸進入，刪除日誌不是一件困難的事，由於日誌雖然也是作為一種服務運行，但不同於http,ftp這樣的服務，可以在命令列下先停止，再刪除，在命令列下用net stop eventlog是不能停止的，所以有人認為在命令列下刪除日誌是很困難的，實際上不是這樣，比方說利用指令碼編程中的VMI就可以刪除日誌，而且非常的簡單方便。原始碼如下：strComputer= "."
Set objWMIService = GetObject("winmgmts:" _
 & "{impersonationLevel=impersonate,(Backup)}!//" & _
 strComputer & "/root/cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles=objWMIService.ExecQuery _
 ("Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'")
For Each objLogfile in colLogFiles 
 objLogFile.ClearEventLog() 
Next
next

　　將上面的代碼儲存為cleanevent.vbs檔案即可。在上面的代碼中，首先獲得object對象，然後利用其clearEventLog()方法刪除日誌。建立一個數組，application,security,system，如果還有其他日誌也可以加入數組。然後用一個for迴圈，刪除數組中的每一個元素，即各個日誌。

利用指令碼偽造日誌|
刪除日誌後，任何一個有頭腦的管理員面對空空的日誌，馬上就會反應過來被入侵了，所以一個聰明的駭客的學會如何偽造日誌。利用指令碼編程中的eventlog方法創造日誌非常簡單，請看下面的代碼：set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" '建立一個成功執行日誌

　　將上面的代碼儲存為createlog.vbs即可。這段代碼很容易理解，首先獲得wscript的一個shell對象，然後利用shell對象的logevent方法。logevent的用法：logevent eventtype,"description" [,remote system]，其中eventtype為日誌類型，可以使用的參數如下：0代表成功執行，1執行出錯，2警告，4資訊，8成功審計，16故障審計。所以上面代碼中，把0改為1,2,4,8,16均可，引號中的內容為日誌描述。利用這種方法寫的日誌有一個缺點，即只能寫到應用程式記錄檔，而且日誌來源只能為WSH，即Windows Scripting Host，所以不能起太多的隱蔽作用，在此僅供大家參考。

禁用開始菜單選項Dim ChangeStartMenu 
Set ChangeStartMenu=WScript.CreateObject("WScript.Shell") 
RegPath="HKCR/Software/Microsoft/Windows/CurrentVersion/Policies/" 
Type_Name="REG_DWORD" 
Key_Data=1 
　   
StartMenu_Run="NoRun" 
StartMenu_Find="NoFind" 
StartMenu_Close="NoClose" 
　   
Sub Change(Argument) 
ChangeStartMenu.RegWrite RegPath&Argument,Key_Data,Type_Name 
MsgBox("Success!")   
End Sub 
　   
Call Change(StartMenu_Run) '禁用“開始”菜單中的“運行”功能 
Call Change(StartMenu_Find) '禁用“開始”菜單中的“尋找”功能 
Call Change(StartMenu_Close) '禁用“開始”菜單中的“關閉系統”功能

　　將以上代碼儲存為ChangeStartMenu.vbs檔案，使用時雙擊即可。

執行外部程式DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C set var=world", 1, TRUE)

　　儲存為.vbs檔案即可。在這段代碼中，我們首先設定了一個環境變數，其名為var，而值為world，使用者可以使用%Comspec%來代替cmd.exe，並且可以把命令：set var=world改成其它的命令，這樣就可以使它可以運行任意的命令。

重新啟動指定的IIS服務

Const ADS_SERVICE_STOPPED = 1
Set objComputer = GetObject("WinNT://MYCOMPUTER,computer")
Set objService = objComputer.GetObject("Service","MYSERVICE")
If (objService.Status = ADS_SERVICE_STOPPED) Then
objService.Start
End If

　　將它以startsvc.vbs為名儲存在C盤根目錄。並通過如下命令執行：cscript c:/startsvc.vbs。運行後，經闃付ǖ腎IS服務項將被重新開啟。

惡意VBS指令碼防範
VBS病毒的執行離不開WSH，在帶給人們便利的同時，WSH也為病毒的傳播留下可乘之機。所以要想防範VBS病毒，可以選擇將WSH卸載，只要開啟控制台，找到“添加/刪除程式”，點選“Windows安裝程式”，再滑鼠雙擊其中的“附件”一項，然後再在開啟的視窗中將“Windows Scripting Host”一項的“√”去掉，然後連續點兩次“確定”就可以將WSH卸載。或者，你也可以點擊“我的電腦”→“查看”→“檔案夾選項”，在彈出的對話方塊中，點擊“檔案類型”，然後刪除VBS、VBE、JS、JSE檔案尾碼名與應用程式的映射，都可以達到防範VBS指令碼病毒的目的。

類似Send to，將"捷徑"發送到指定目錄

Set unNamedArguments = WScript.Arguments.UnNamed

set WshShell = WScript.CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")

strFolder = "C:/MyTool/"
for count = 0 to wscript.arguments.count-1 Step 1
filename = unNamedArguments.Item(count)
Set objFile = objFSO.GetFile(filename)
set oShellLink = WshShell.CreateShortcut(strFolder & objFSO.GetBaseName(filename) & ".lnk")
oShellLink.TargetPath = filename
oShellLink.WindowStyle = 1
'oShellLink.IconLocation = "notepad.exe, 0"
'oShellLink.Description = "Shortcut Script"
oShellLink.WorkingDirectory = objFSO.GetParentFolderName(filename)
oShellLink.Save
NEXT

以上為，將某程式捷徑發送到 C:/myTool 目錄

收錄網站資源
·http://callof.net/Site/List.Asp?id=65 （許多WMI相關資源）