实验四 |
您所在的位置:网站首页 › 台湾一号病毒代码 › 实验四 |
实验四
|
【实验名称】 VBScript脚本病毒分析与清除 【实验目的】 1.了解VBScript如何实现文件、进程及注册表操作 2.了解VBScritp病毒的工作原理 3.了解VBScritp病毒的感染目标和感染方式 4.掌握编写VB脚本病毒专杀工具的一般方法 【实验原理】 VBScript语法(可查询“微软VbScript手册vbs.chm”) 1.文件操作 (1)创建文件对象:文件操作前都要创建文件对象 Set fso = CreateObject(“Scripting.FileSystemObject”) (2)以只读方式打开当前脚本:WScript.ScriptFullname当前运行脚本的路径 fso.OpenTextFile(WScript.ScriptFullname,1) (3)以文本形式读取file整个文件:file.ReadAll (4)获取指定文件夹的路径 :fso.GetSpecialFolder(1) ‘ 1:'获取System文件夹路径,0:windows文件夹,2:temp文件夹 (5)根据路径获取文件:fso.GetFile(WScript.ScriptFullName) (6)备份文件:c.Copy(dirsystem&"\MSKernel32.vbs") (7)取文件后缀:fso.GetExtensionName(f1.path) (8)获得文件夹句柄:fso.GetFolder(folderspec) ‘folderspec为文件夹路径 (9)创建文件:fso.CreateTextFile(f1.path&".vbs"),f1.path&".vbs"为路径及文件名 (10)文件属性:f1.attributes = 2为隐藏文件 (11)子文件夹:folder.SubFolders 2.注册表操作 (1)创建注册表对象:Set regedit = CreateObject(“WScript.Shell”) 创建WScript.Shell对象,用来修改注册表 (2)写注册表:regedit.RegWrite regkey,regvalue (3)删除注册表:regedit.RegDelete regkey 注:regkey,regvalue是函数RegWrite/RegDelete的参数 3.进程操作 (1)创建进程对象:Set winm = GetObject(“winmgmts:") (2)vbs文件:由wscript.exe进程调用并执行 (3)查询所有wscript.exe进程: pocs=winm.execquery(“select * from win32_process where name = ‘wscript.exe’”) (4)终止进程:processor.terminate 【实验内容】 1.在虚拟机中解压文件3-课堂.rar 2.拍摄虚拟机快照 3.不使用监控软件,运行脚本文件svir.vbs,观察运行结果; (1)弹出对话框病毒的路径:C:\Documents and Settings\Administrator\桌面\病毒实验三 (2)关闭上一个对话框之后,弹出病毒发作的对话框,且关闭一个之后又出现第二个。 (3)但是可以通过任务管理器,强制结束wscript.exe的进程,之后对话框被关闭。 4.恢复虚拟机快照; 5.使用监控软件如Filemon,Regmon,Process Explorer等,运行脚本文件svir.vbs,并观察运行结果。 注:运行结果应观察脚本文件svir.vbs运行后,对(1)文件,(2)注册表,(3)进程 的操作。 (1)文件 1、备份文件 在系统目录下备份了病毒文件 2、感染文件 指定目录下后缀为txt,jpg,mp3都将被感染成vbs文件 (1)原目录下的文件 都被感染成了vbs文件 且病毒文件将代码也备份给了被感染的文件,这样在被感染文件也编程了新的病毒文件,被传播点击启动之后又会感染其他的文件,危害其他的系统。 (2)其他文件目录: 指定目录下文件都被感染,且我们可以看到原文件都被隐藏起来了,一般人在没有显示隐藏文件夹的情况下,很容易直接启动了被感染的病毒脚本。 (2)注册表 在路径"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\”下,新建了注册项MSKernel32,数值为:C:\WINDOWS\system32\MSKernel32.vbs (3)进程 (1)脚本文件svir.vbs运行后,在Process Explorer上,新建了eplorer.exe的子进程wscript.exe进程。 (2)在File Monitor中,有多个wscript.exe的进程,可能时系统当时运行了多个VBScript的脚本 (3)用冰刃查看,病毒脚本新建了一个组 6.针对病毒行为,编写清除病毒的vbs文件 注:可以从文件、进程、注册表等方面考虑如何清除病毒及病毒对操作系统的影响 源代码: '定义变量 Dim fso,dirsystem,file,vbscopy,folder '创建fso文件对象,进行文件操作 Set fso = CreateObject("Scripting.FileSystemObject") '获得当前执行的脚本文件,GetFile获得文件对象,不能对文件进行操作。 Set folder = fso.GetFile(WScript.ScriptFullname).ParentFolder main() Sub main() 'On Error Resume Next Dim wscr,c Set wscr = CreateObject("WScript.Shell") '获取System文件夹路径,另外0表示windows文件夹,2:temp文件夹 Set dirsystem = fso.GetSpecialFolder(1) '通过正在执行脚本路径获取脚本病毒文件 Set c = fso.GetFile(WScript.ScriptFullName) '删除病毒备份 c.delete '调用函数删除新增注册表项 regruns() '遍历删除和恢复病毒感染文件 folderlist(folder.path) msgbox("删除病毒文件") '结束病毒进程 over() End Sub '函数:在注册表中删除自启动项 Sub regruns() '删除指定路径下的注册表项 regdelete"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32" End Sub '函数:删除注册表 Sub regdelete(regkey) '创建WScript.Shell对象,对注册表进行操作 Set regedit = CreateObject("WScript.Shell") '删除 regedit.RegDelete regkey End Sub '遍历文件夹 Sub folderlist(folderspec) Dim f,f1,sf '遍历显示文件夹中的所有文件 Set f = fso.GetFolder(folderspec) Set sf = f.SubFolders For Each f1 in sf '查找目录中被感染的文件,删除并恢复被感染文件 deletefiles(f1.path) '递归,继续搜索子目录 folderlist(f1.path) Next End Sub '删除并恢复传染文件操作 Sub deletefiles(folderspec) On Error Resume Next Dim f,f1,fc,ext,s,m Set f = fso.GetFolder(folderspec) Set fc = f.Files For Each f1 in fc '取后缀 ext = fso.GetExtensionName(f1.path) '将后缀转换为小写 ext = LCase(ext) If (f1.attributes = 2) Then '将隐藏的原文件恢复 f1.attributes = 0 End If If (ext="vbs")Then '后缀为vbs是感染文件,删除 f1.delete End If Next End Sub Sub over '定义进程变量 Dim winm,procs 'winm对象句柄 Set winm=GetObject("winmgmts:") '查询所有的wscript.exe进程 Set procs=winm.execquery("select * from win32_process where name='wscript.exe'") '遍历进程 For Each processor In procs '结束程序 processor.terminate Next End Sub实验结果截图: (1)文件已恢复 (2)注册表已恢复 (3)进程已结束 |
【本文地址】
今日新闻 |
推荐新闻 |