VBS原理与技术.doc

第1章.VBS原理与技术 1 1.1 VBS概述 1 1.2 VBS简单编写与实例 1 第2章.VBS脚本病毒原理 3 2.1 VBS脚本病毒的特点及发展现状 3 2.2 VBS脚本病毒原理分析 4 第3章. 实现过程 13 3.1 Visual Basic Script脚本编写 13 第4章. 脚本病毒的防御 29 4.1 VBS脚本病毒的弱点 29 4.2 预防和解除VBS脚本病毒 29 第1章.VBS原理与技术 1.1 VBS概述 VBScript的全称是:Microsoft Visual Basic Script Edition.(微软公司可视化BASIC脚本版). 正如其字面所透露的信息, VBS(VBScript的进一步简写)是基于Visual Basic的脚本语言. 我进一步解释一下, Microsoft Visual Basic是微软公司出品的一套可视化编程工具, 语法基于Basic. 脚本语言, 就是不编译成二进制文件, 直接由宿主(host)解释源代码并执行, 简单点说就是你写的程序不需要编译成.exe, 而是直接给用户发送.vbs的源程序, 用户就能执行了. 1.2 VBS简单编写与实例 在大家初步了解除了VBScript后，我们先来写一个简单的VBScript程序. REM 输入并回显你的名字 使用InputBox和Msgbox函数 Dim name,msg msg=请输入你的名字: name=Inputbox(msg,名称) Msgbox(name) 把上面的程序清单输入到记事本里面, 然后保存为以.vbs为扩展名的文件(保存类型里面选择所有文件).然后双击运行, 观察运行结果. 这个程序, 第一行和第二行的开头分别是REM语句和 , 这两个东西的作用是相同的, 表示本行是注释行, 就是说这两行什么也不干,只是用来说明这段程序的功能, 版权信息等等. 注释行是程序最重要的部分之一, 尽管它不是必需的, 但对于其他人阅读源代码, 以及自己分析源代码是很有好处的. 好的习惯是在必要的地方加上清晰, 简洁的注释. InputBox的返回值--就是你输入的内容. 在inputbox右边的括号里是参数列表, 每个参数用,分隔开, 每个参数有不同的功效, 比如第一个参数会显示在提示里, 我们把msg这个变量作为第一个参数传给了Inputbox 函数, 而msg=请输入你的名字:, 所以我们在对话框的提示栏就会看到请输入你的名字: 第二个参数是对话框的标题, 我们用直接量(学名叫常量, 这里是字符串常量)传递给函数, 当然你也可以传递变量. Inputbox还有很多参数, 比如你在名称后面再加一个,然后输入随便一串字符(字符串,用双引号包裹起来的一串字符叫做字符串)然后运行, 看看结果. 你会发现用于输入的文本框有了默认的值, 这就是第三个参数的作用. Msgbox函数是用来输出的函数, 在VBS中没有专门的输出函数(BASIC中的print,C中的printf), 所以我们只能用对话框来观察输出结果, Msgbox的必要参数只有一个, 就是要输出的内容, 在这种情况下, 我们不需要理会msgbox的返回值。 第2章.VBS脚本病毒原理 2.1 VBS脚本病毒的特点及发展现状 VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思想，但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点： 编写简单，一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。 正因为以上几个特点，脚本病毒发展异常迅猛，特别是病毒生产机的出现，使得生成新型脚本病毒变得非常容易。vbs脚本病毒如何感染、搜索文件 p.close set cop=fso.getfile(目标文件.path) 得到目标文件路径 cop.copy(目标文件.path .vbs) 创建另外一个病毒文件(以.vbs为后缀) 目标文件.delete(true) 删除目标文件 上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。 下面我们具体分析一下文件搜索代码： 该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本 sub scan(folder_) scan函数定义， on error resume next 如果出现错误，直接跳过，防止弹出错误窗口 set fol