Email：QQ:344248003計算機(jī)病毒防治技術(shù)內(nèi)容提綱1.計算機(jī)病毒概述2.腳本病毒及防御技術(shù)3.網(wǎng)頁病毒及防御技術(shù)4.宏病毒及防御技術(shù)5.WindowsPE文件病毒及防御技術(shù)6.批處理文件病毒技術(shù)7.U盤病毒及防御技術(shù)8.計算機(jī)病毒演化策略主要內(nèi)容1.腳本病毒的定義2.腳本病毒的特征3.腳本病毒基本原理4.腳本病毒生產(chǎn)機(jī)簡介第2章腳本病毒技術(shù)VBS腳本病毒定義VBS腳本病毒：利用VBScript編寫而成，該腳本語言功能非常強(qiáng)大，它們利用Windows系統(tǒng)的開放性特點(diǎn)，通過調(diào)用一些現(xiàn)成的Windows對象、組件，可以直接對文件系統(tǒng)、注冊表等進(jìn)行控制，功能非常強(qiáng)大。計算機(jī)病毒就是一種思想，但是這種思想在用VBS實(shí)現(xiàn)時變得極其容易。2.1腳本病毒的定義WSH簡介WSH是WindowsScriptingHost(Windows腳本宿主)的縮略形式,是一個基于32位Windows平臺、并獨(dú)立于語言的腳本運(yùn)行環(huán)境，是一種批次語言/自動執(zhí)行工具文件名為WScript.exe(若是在DOS命令提示符下，則為CScript.exe，命令格式：CScript)WScript.exe使得腳本可以被執(zhí)行，就象執(zhí)行批處理一樣在WSH腳本環(huán)境里，預(yù)定義了一些對象，通過這些內(nèi)置對象，可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能2.1腳本病毒的定義WSH簡介如果用regsvr32scrrun.dll/u禁止了文件系統(tǒng)對象，在執(zhí)行包含腳本的則提示失敗2.1腳本病毒的定義WSH簡介訪問文件系統(tǒng)WScript.Echo("WSH應(yīng)用舉例")'彈出對話框窗口'在D盤根目錄下建立10個新文件夾dimobjdirsetobjdir=WScript.Createobject("Scripting.")fork=1to10sNewFolder="d:\WSHsample"&k'給新的文件夾命名objdir.Createfolder(sNewFolder)next'在C盤根目錄創(chuàng)建一個文本文件testSetRegWsh=Wscript.CreateObject("Wscript.Shell")RegWsh.Run("notepad"&Wscript.ScriptFullName)'用SHELL對象啟動程序Setfs=Wscript.CreateObject("Scripting.")Seta=fs.CreateTextFile("c:\test",True)a.WriteLine("HelloWorld!")a.Close2.1腳本病毒的定義WSH簡介訪問注冊表DimRegWsh,sReadKey,sPrompt,sFixpromptSetRegWsh=WScript.CreateObject("WScript.Shell")RegWsh.RegWrite"HKCU\MyRegKey","一級鍵值"'創(chuàng)建一級鍵值sReadKey=RegWsh.RegRead("HKCU\MyRegKey")'讀取(默認(rèn))鍵值sPrompt="(默認(rèn))鍵值為："&sReadKeyMsgBox"讀取的HKCU\MyRegKey下"&sPromptRegWsh.RegWrite"HKCU\MyRegKey\Entry","二級子鍵"'創(chuàng)建二級子鍵sReadKey=RegWsh.RegRead("HKCU\MyRegKey\Entry")sPrompt="(默認(rèn))鍵值為："&sReadKeyMsgBox"讀取的HKCU\MyRegKey\Entry下"&sPromptRegWsh.RegWrite"HKCU\MyRegKey\Entry","修改后的二級子鍵"'修改sReadKey=RegWsh.RegRead("HKCU\MyRegKey\Entry")sPrompt="(默認(rèn))鍵值已經(jīng)修改為："&sReadKeyMsgBox"讀取的HKCUMyRegKey\Entry下"&sPrompt(待續(xù))2.1腳本病毒的定義WSH簡介(續(xù))MsgBox"將數(shù)值項(xiàng)HKCU\MyRegKey\Value設(shè)為字符類型(REG_SZ)，數(shù)值為1"RegWsh.RegWrite"HKCU\MyRegKey\Value",1MsgBox"將數(shù)值項(xiàng)HKCU\MyRegKey\Entry設(shè)為雙字節(jié)型(REG_DWORD)，數(shù)值為2"RegWsh.RegWrite"HKCU\MyRegKey\Entry",2,"REG_DWORD"MsgBox"將數(shù)值項(xiàng)HKCU\MyRegKey\Entry\Value1設(shè)為二進(jìn)制類型(REG_BINARY)，數(shù)值為3"RegWsh.RegWrite"HKCU\MyRegKey\Entry\Value1",3,"REG_BINARY"MsgBox"以下將刪除HKCU\MyRegKey\Entry\Value1數(shù)值"RegWsh.RegDelete"HKCU\MyRegKey\Entry\Value1"MsgBox"以下將刪除HKCU\MyRegKey\Entry主鍵"RegWsh.RegDelete"HKCU\MyRegKey\Entry"MsgBox"以下將刪除HKCU\MyRegKey主鍵"RegWsh.RegDelete"HKCU\MyRegKey"2.1腳本病毒的定義VBS病毒特點(diǎn)1.編寫簡單2.破壞力大3.感染力強(qiáng)4.傳播范圍廣5.病毒源碼容易被獲取、變種多6.欺騙性強(qiáng)7.使得病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來非常容易2.1腳本病毒的定義腳本病毒要解決的幾個問題2.2腳本病毒原理1.VBS腳本病毒如何感染、搜索文件？2.VBS腳本病毒傳播方式有哪些？3.VBS腳本病毒如何獲得控制權(quán)？4.VBS腳本病毒有哪些逃逸策略？5.如何防范VBS腳本病毒？2.2.1VBS腳本病毒如何感染、搜索文件VBS腳本病毒一般是直接通過自我復(fù)制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。首先，將病毒自身代碼賦給字符串變量VBScopy；然后，將這個字符串覆蓋寫到目標(biāo)文件，并創(chuàng)建一個以目標(biāo)文件名為文件名前綴、VBS為后綴的文件副本；最后，刪除目標(biāo)文件。2.2腳本病毒原理2.2.1VBS腳本病毒如何感染、搜索文件文件感染的部分關(guān)鍵代碼：Setfso=createobject("scripting.")'創(chuàng)建一個文件系統(tǒng)對象setself=fso.opentext)'讀打開當(dāng)前文件（即病毒本身）VBScopy=self.readall'讀取病毒全部代碼到字符串變量VBScopy……setap=fso.opentextfile(目標(biāo)文件.path,2,true)'打開目標(biāo)文件，準(zhǔn)備寫入病毒代碼ap.writeVBScopy'將病毒代碼覆蓋目標(biāo)文件ap.closesetcop=fso.getfile(目標(biāo)文件.path)'得到目標(biāo)文件路徑cop.copy(目標(biāo)文件.path&".VBS")'創(chuàng)建另外一個病毒文件（以.VBS為后綴）目標(biāo)文件.delete(true)'刪除目標(biāo)文件2.2腳本病毒原理腳本病毒要解決的幾個問題2.2腳本病毒原理1.VBS腳本病毒如何感染、搜索文件？2.VBS腳本病毒傳播方式有哪些？3.VBS腳本病毒如何獲得控制權(quán)？4.VBS腳本病毒有哪些逃逸策略？5.如何防范VBS腳本病毒？

2.2.2VBS腳本病毒傳播方式1.通過Email附件傳播2.通過局域網(wǎng)共享傳播3.通過感染html、asp、jsp、php等網(wǎng)頁文件傳播4.通過QQ、IRC聊天通道傳播2.2腳本病毒原理腳本病毒要解決的幾個問題2.2腳本病毒原理1.VBS腳本病毒如何感染、搜索文件？2.VBS腳本病毒傳播方式有哪些？3.VBS腳本病毒如何獲得控制權(quán)？4.VBS腳本病毒有哪些逃逸策略？5.如何防范VBS腳本病毒？

2.2.3VBS腳本病毒如何獲得控制權(quán)1.修改注冊表項(xiàng)Windows會自動加載HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)下的各鍵值所執(zhí)向的程序。2.通過映射文件執(zhí)行方式3.欺騙用戶，讓用戶自己執(zhí)行4.desktop.ini和folder.htt互相配合2.2腳本病毒原理腳本病毒要解決的幾個問題2.2腳本病毒原理1.VBS腳本病毒如何感染、搜索文件？2.VBS腳本病毒傳播方式有哪些？3.VBS腳本病毒如何獲得控制權(quán)？4.VBS腳本病毒有哪些逃逸策略？5.如何防范VBS腳本病毒？

2.2.4VBS腳本病毒的逃逸策略1.自加密2.巧妙運(yùn)用Execute函數(shù)3.改變某些對象的聲明方法

4.直接關(guān)閉反病毒軟件2.2腳本病毒原理setfso=WScript.createobject(scripting.)等同于：Execute("setfso=WScript.createobject(scripting.)")或Execute("setfso=WScript.create"&"object(""scripting.file"&"systemobject"")")fso=WScript.createobject(scripting.)改變?yōu)椋篺so=createobject("script"＋"ing."＋"mobject")VBS腳本病毒的弱點(diǎn)

1.絕大部分VBS腳本病毒運(yùn)行的時候需要用到一個對象：；2.VBScript代碼是通過WindowsScriptHost來解釋執(zhí)行的；3.VBS腳本病毒的運(yùn)行需要其關(guān)聯(lián)程序Wscript.exe的支持；4.通過網(wǎng)頁傳播的病毒需要ActiveX的支持；5.通過Email傳播的病毒需要OE的自動發(fā)送郵件功能支持，但是絕大部分病毒都是以Email為主要傳播方式的。2.2腳本病毒原理腳本病毒要解決的幾個問題2.2腳本病毒原理1.VBS腳本病毒如何感染、搜索文件？2.VBS腳本病毒傳播方式有哪些？3.VBS腳本病毒如何獲得控制權(quán)？4.VBS腳本病毒有哪些逃逸策略？5.如何防范VBS腳本病毒？2.2.5如何防范VBS腳本病毒1.禁用文件系統(tǒng)對象方法：用regsvr32scrrun.dll/u這條命令就可以禁止文件系統(tǒng)對象。其中regsvr32是Windows\System下的可執(zhí)行文件?；蛘咧苯硬檎襰crrun.dll文件刪除或者改名。還有一種方法就是在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項(xiàng)，刪除即可。2.卸載WindowsScriptingHost方法：打開［控制面板］→［添加/刪除程序］→［Windows安裝程序］→［附件］，取消“WindowsScriptingHost”一項(xiàng)。和上面的方法一樣，在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項(xiàng)，刪除即可。2.2腳本病毒原理2.2.5如何防范VBS腳本病毒3.刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射方法：［我的電腦］→［查看］→［文件夾選項(xiàng)］→［文件類型］，然后刪除VBS、VBE