REM "게스트 해킹 explorer.exe"
icacls "%windir%\explorer.exe"
takeown /F "%windir%\explorer.exe" /A
icacls "%windir%\explorer.exe" /save d:\explorer.txt
icacls "%windir%\explorer.exe" /grant Administrators:F
icacls "%windir%\explorer.exe" /setintegritylevel H
icacls "%windir%\explorer.exe" /deny "NETWORK SERVICE":(F) "GUEST":(F) "IIS_IUSRS":(F) "REMOTE INTERACTIVE LOGON":(F) "*S-1-5-32-546:F" "*S-1-0-0:F" "*S-1-5-7:F" "*S-1-5-13:F"
icacls "%windir%\explorer.exe" /setowner "NT SERVICE\TrustedInstaller"
icacls "%windir%\explorer.exe" /grant:r Administrators:RX
icacls "%windir%\explorer.exe"
REM "복구 할때"
REM icacls /reset "%windir%\explorer.exe"
REM icacls %windir%\System32\ d:\explorer.txt
REM "수상한 wmic 보안 Wmiprvse.exe 윔퍼트리세 https://cafe.daum.net/candan/GGFN/478" REM icacls "%windir%\System32\wbem" /deny "NETWORK SERVICE":(F) /t /q REM icacls "%windir%\System32\wbem\*" /inheritance:e /t /q REM "수상한 wmic" icacls "%windir%\System32\wbem" takeown /F "%windir%\System32\wbem" /A /r icacls "%windir%\System32\wbem" /grant Administrators:F /t icacls "%windir%\System32\wbem" /reset /t takeown /F "%windir%\System32\wbem" /A /r icacls "%windir%\System32\wbem" /grant Administrators:F /t icacls "%windir%\System32\wbem" /save d:\wbem.txt /t icacls "%windir%\System32\wbem" /remove "NT AUTHORITY\NETWORK SERVICE" /T REM icacls "%windir%\System32\wbem" /setintegritylevel H /t icacls "%windir%\System32\wbem" /deny "GUEST":(F) "IIS_IUSRS":(F) "REMOTE INTERACTIVE LOGON":(F) "*S-1-5-32-546:F" "*S-1-0-0:F" "*S-1-5-7:F" "*S-1-5-13:F" /t icacls "%windir%\System32\wbem" /setowner "NT SERVICE\TrustedInstaller" /t icacls "%windir%\System32\wbem" /grant:r Administrators:RX /t icacls "%windir%\System32\wbem" icacls "%windir%\System32\wbem" /deny "*S-1-5-13":F" REM 터미널 사용자 서버 "*S-1-5-13":F REM "복구 할때" REM icacls "%windir%\System32\wbem" /reset /t REM icacls %windir%\System32\ d:\wbem.txt
REM "ms 스토어 수상한 인터넷 연결"
icacls "%ProgramFiles%\WindowsApps"
takeown /F "%ProgramFiles%\WindowsApps" /A /r
icacls "%ProgramFiles%\WindowsApps" /grant Administrators:F /t
icacls "%ProgramFiles%\WindowsApps" /reset /t
REM "%ProgramFiles%\WindowsApps\SAM 아쉽게 이 경로는 안된다 %ProgramFiles%\WindowsApps 이렇게 해야 한다고"
icacls "%ProgramFiles%\WindowsApps"
takeown /F "%ProgramFiles%\WindowsApps" /A /R /D Y
icacls "%ProgramFiles%\WindowsApps" /grant Administrators:F /t /q
icacls "%ProgramFiles%\WindowsApps" /save d:\WindowsApps.txt /t /q
REM icacls "%ProgramFiles%\WindowsApps" /setintegritylevel H /t /q
icacls "%ProgramFiles%\WindowsApps" /deny "NT AUTHORITY\NETWORK SERVICE:(OI)(CI)F" "GUEST":(OI)(CI)F "IIS_IUSRS":(OI)(CI)F "REMOTE INTERACTIVE LOGON":(OI)(CI)F "*S-1-5-32-546:(OI)(CI)F" "*S-1-0-0:(OI)(CI)F" "*S-1-5-7:(OI)(CI)F" "*S-1-5-13:(OI)(CI)F" /t /inheritance:e /q
icacls "%ProgramFiles%\WindowsApps" /setowner "NT AUTHORITY\SYSTEM" /t /q
icacls "%ProgramFiles%\WindowsApps" /grant:r Administrators:RX /t /q
icacls "%ProgramFiles%\WindowsApps"
REM "복구 할때"
REM icacls "%ProgramFiles%\WindowsApps" /reset /t /q
REM icacls %ProgramFiles%\WindowsApps d:\WindowsApps.txt
# txt 파일로 백업 하면 위험성이 있기 때문에.. 아래 처럼 csv 파일로 하면 어떨까? 하여 AI에게 물어 봤다
# 하지만 아래 명령어는 윈도우 home에는 쓸수가 없다..
# 용량이 많은 icacls 폴더 단위 백업 하기
Get-Acl -Path "$env:ProgramFiles\WindowsApps" -Recurse | Export-Csv -Path "d:\WindowsApps.csv" -NoTypeInformation
# 복구 하기
$Acl = Import-Csv -Path "d:\WindowsApps.csv"
Set-Acl -Path "$env:ProgramFiles\WindowsApps" -AclObject $Acl
REM 항상 수정 하면 말썽인 아이.
REM "[net user 하면. '명령이 하나 이상의 오류로 완료되었습니다.']"
REM "원격 관련이다 Windows 파일 공유와 프린터 공유 등의 네트워크 리소스 공유 비활성 SMB 서비스랑 있는 거라고 한다 보안 업데이트 안되면 다시 3으로 해야 한다 자꾸 켜진다 해킹 같음"
REM reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /v "Start" /t REG_DWORD /d "4" /f
REM "이건 꼭 이런 에러가 발생 한다 [net user 하면. '명령이 하나 이상의 오류로 완료되었습니다.']"
REM "자동 실행 할수 있으니 악용 될수 있다고 1이면 0으로 해야 비활성 된다"
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /v "DelayedAutostart" /t REG_DWORD /d "0" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /v "Everyone" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /v "System" /t REG_DWORD /d 0 /f
REM REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /v "ObjectName" /t REG_SZ /d "NT AUTHORITY\LocalService" /f
REM "서비스 레지스트 권한 조금 주기 보안 강화"
REM REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /v "RequiredPrivileges" /t REG_MULTI_SZ /d "SeIncreaseQuotaPrivilege\0SeDebugPrivilege" /f
REM "ㅋㅋ AI에게 물어 보니 그냥 삭제 하란다 해킹 자꾸 들어 오는거 알고"
REM REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Performance" /f
REM "원격 관련이다 Windows 파일 공유와 프린터 공유 등의 네트워크 리소스 공유 비활성 SMB 서비스랑 있는 거라고 한다 보안 업데이트 안되면 다시 3으로 해야 한다 자꾸 켜진다 해킹 같음"
REM reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v "Start" /t REG_DWORD /d "4" /f
REM "이건 꼭 이런 에러가 발생 한다 [net user 하면. '명령이 하나 이상의 오류로 완료되었습니다.']"
REM "자동 실행 할수 있으니 악용 될수 있다고 1이면 0으로 해야 비활성 된다 자동 실행 안되면 에러 난다 -_- "
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v "DelayedAutostart" /t REG_DWORD /d "0" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v "Everyone" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v "System" /t REG_DWORD /d 0 /f
REM REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v "ObjectName" /t REG_SZ /d "NT AUTHORITY\LocalService" /f
REM "서비스 레지스트 권한 조금 주기 보안 강화"
REM REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v "RequiredPrivileges" /t REG_MULTI_SZ /d "SeIncreaseQuotaPrivilege\0SeDebugPrivilege" /f
REM "이건 꼭 이런 에러가 발생 한다 [net user 하면. '명령이 하나 이상의 오류로 완료되었습니다.']"
REM "ㅋㅋ AI에게 물어 보니 그냥 삭제 하란다 해킹 자꾸 들어 오는거 알고"
REM REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Performance" /f
REM https://cafe.daum.net/candan/Lrrk/7
REM "BITS 서비스 비활성 SMB 서비스랑 있는 거라고 한다 보안 업데이트 안되면 다시 3으로 해야 한다 자꾸 켜진다 해킹 같음"
reg add "HKLM\SYSTEM\CurrentControlSet\Services\BITS" /v "Start" /t REG_DWORD /d "4" /f
REM "자동 실행 할수 있으니 악용 될수 있다고 1이면 0으로 해야 비활성 된다"
reg add "HKLM\SYSTEM\CurrentControlSet\Services\BITS" /v "DelayedAutostart" /t REG_DWORD /d "0" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v "Everyone" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v "System" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v "ObjectName" /t REG_SZ /d "NT AUTHORITY\LocalService" /f
REM "서비스 레지스트 권한 조금 주기 보안 강화"
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v "RequiredPrivileges" /t REG_MULTI_SZ /d "SeIncreaseQuotaPrivilege\0SeDebugPrivilege" /f
REM "ㅋㅋ AI에게 물어 보니 그냥 삭제 하란다 해킹 자꾸 들어 오는거 알고"
REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Performance" /f
REM "https://cafe.daum.net/candan/Lrrk/5"
REM "CredentialEnrollmentManagerUserSvc 자격증명 관련 보안 하기"
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc" /v ObjectName /t REG_SZ /d "NT Authority\LocalService" /f
REM "CredentialEnrollmentManagerUserSvcc_ 경로에서 모두 찾으세요 그리고 test.txt로 입력 하세요"
REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services /k /f "CredentialEnrollmentManagerUserSvc_" /s > %temp%\test.txt
REM "입력한 test.txt에서 원하는 내용만 추출 하여 777.txt로 보내세요"
findstr /C:"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_" %temp%\test.txt > %temp%\777.txt
REM "만들어진 내용을 출력 하세요 type 가 출력 하는 말이다. for 예문은 내부에 %i가 임시 표현 방식으로.. 그리고 이것을 do set를 통해서 보내고 보낸 내용을 set 으로 해서 등록 하고. 사용"
for /f "delims=" %i in ('type %temp%\777.txt') do set "aa=%i" & cmd /V:ON /C "REG ADD "!aa!" /v "ObjectName" /t REG_SZ /d "NT Authority\LocalService" /f"