vb脚本病毒实验报告

1、vb脚本病毒实验报告一、实验目的和要求了解ve脚本病毒的工作原理了解vb脚本病毒常见的感染目标和感染方式 掌握编写vb脚本病毒专杀工具的一般方法二、实验内容和原理1. 脚本病毒概述脚本程序的执行环境需要wsh环境，wsh为宿主脚本创 建环境。即当脚本到达计算机时，wsh充当主机的部分，它 使对象和服务可用于脚本，并提供一系列脚本执行指南。wsh是微软提供的一种基于32位windows平台的、与 语言无关的脚本解释机制，它使得脚本能够直接在windo ws桌面或命令提示符下运行。利用wsh用户能够操纵wsh 对象、activex对象、注册表和文件系统，还可以访问活动 目录服务。wsh依赖于ie提

2、供的visualb asicscript和 javascrip t脚本引擎，所对应的程序"c:wind ows"是 一个脚本语言解释器。vi sualbasics cript 和 java script 作为客户端编程 语言，当一个以该语言编制的程序被下载到一个兼容的浏 览器中时，浏览器将自动执行该程序。“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。脚本病毒的主要特点:由于脚本是直接解释执行，可以直接通过自我复制的 方式感染其它同类文件，并且使异常处理变得非常容易。脚本病毒通过html文档、e mail附件或其它方式，可 以在很短的时间内传遍世界

3、各地，通常是使用在邮件附件 中安置病毒本体的方法，然后利用人们的好奇心，通过邮 件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。新型的邮件病毒邮件正文即为病毒，用户接收到带毒 邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过 预览功能病毒也会被自动激活。病毒源码容易被获取，变种多。由于vbs病毒解释执 行，其源码可读性好，即使病毒源码经过加密处理后，其 源码的获取还是比较简单。因此，这类病毒稍微改变一下 病毒的结构或者特征值，很多杀毒软件可能就无能为力了。欺骗性强。脚本病毒为了得到运行机会，往往会采用 各种让用户不太注意的手段，譬如，邮件的附件采用双后 缀，如或，由于系统默认不显示后缀，

4、这样，用户看到此 文件时就会认为它是一个jpg图片或文本文件。2. 爱虫病毒分析i) .病毒简介“爱虫”病毒从2000年5月4日开始在欧洲大陆迅速 传播，并向全世界蔓延。该病毒别名叫做lovelett er> lovebug、veryfunny。它采用vbscri pt编写，其传播原 理是通过micros。ftoutlook将名为“"的邮件发送给用户 地址薄里所有的地址。它可以产生文件，将包括病毒的文 件通过mlrc蔓延到int ernet聊天室中。该病毒还有多个 发作破坏模块，查找本地驱动器和网络驱动器，在所有目 录和子目录中搜索可以感染的目标女口： .vbs、.vbe、.

5、js、.jse、.css、.wsh、.sct、.hta、.jpg> . jpeg、.wav、.txt、.gif、. doc、 htm、 htm is . xlss . in i> .bat、.com、.mp3、. mp 2 等，它用病毒 代码覆盖原有的内容，并在文件名后面添加.vbs的扩展名, 从而取代宿主文件。.mp2和.mp3文件被隐藏起来，并未破 坏。当病毒运行后会在系统中留下以下文件：windo ws；syste m；syst eml0ve-le tter_f0r_。该病毒还修改注册表中的一些路径以便在启动windows 时运行。它还在win dowssyste m下搜索名

6、为的文件，如 果该文件不存在，则修改ie的默认初始页面下载的文件， 并修改 注册键值为：hklm software microsoft windowscu rrentversi ionrunwi n-bugsfixo该病毒已经有很多变种，并被反病毒厂家定为高危险 性病毒。所以，提醒用户在接收电子邮件之前，一定要先 升级自己的杀毒软件，拦截住这种破坏性很大的病毒。另 外，广大用户除了不要冒然打开不明真相的英文邮件及附 件外，最好也不要浏览陌生网站和下载其中内容。2) .病毒的杀毒步骤在windo ws下查看进程列表中是否有wscript这个文 件，如有此文件说明已经感染。将该文件“结束任务”。进

7、入c:windo wssystem中，运行选择“启动"模板, 将所有的后缀为“*.vbs”的文件选择为禁用状态。在保证内存中无wscr ipt这个文件后，重启计算机。查找一个叫的文件并删除它，如果安装了 mirc则删除 文件，删除含附件的ema订。打开注册表编辑器并删除下列键值：hkey_current_us ersoftwar emicrosof twindows currentversionrunmskernel32 ；hkey_current_usersoftwaremicrosoftwindowscurrentversionrunserverwin32dll；hkey_cur

8、r ent_users oftwaremi crosoftwi ndowscurr entversion runwin-b ugfixo3) .病毒各模块功能介绍爱虫病毒的结构化做得很好，各个模块功能非常独立, 彼此并不相互依赖，流程也非常清楚，下面对每个函数过 程的功能作一简单介绍。main爱虫病毒的主模块，它集成调用其它各个模块。reg runs该模块主要用来修改注册表ru n下面的启动项指向病 毒文件、修改下载目录，并负责随机从给定的4个网址中下 载文件，并使启动项指向该文件。html该模块主要用来生成文件，该htm文件执行后会执行里 面的病毒代码，并在系统目录生成一个病毒副本文件。sp

9、re adtoemail该模块主要用于将病毒文件作为附件发送给outlook地 址薄中的所有用户，也是破坏性最大的一个模块。 listadriv该模块主要用于搜索本地磁盘，并对磁盘文件进行感 染。它调用了folderlist ()函数，该函数主要用来遍历整 个磁盘，对目标文件进行感染。f olderlist()函数的感染 功能实际上是调用了 infec tfile()函数。infetcfile ()可 以对十余种文件进行覆盖，并且还会创建文件，以便于利 用irc通道进行传播。4 ).脚本病毒的预防和清除脚本病毒的运行和传播有如下特点：vbs代码是通过wi ndowsscrip thost来解释

10、执行的。vbs病毒的运行需要其关联程序的支持。大部分vbs病毒运行的时候需要用到一个对象：filesystemobjec to通过网页传播的脚本病毒需要act ivex的支持。通过email传播的病毒需要outloo kexpress的自动发 送邮件功能支持。防范脚本病毒措施有：卸载 window sscripting host打开“控制面板”丨“添加/删除程序”丨“wind ows安 装程序”丨“附件”丨取消“w indowsscri ptinghost" 一项。禁用文件系统对象f订esys temobject用/u这条命令就可以禁止文件系统对象。其中regsvr32是window

11、ss ystem下的可执行文件。或者直接查找文件删除或者改名o在windows i录中，找到，更改名称或者删除。设置浏览器。首先打开浏览器，单击菜单栏里“int ernet选项”安全选项卡里的“自定义级别”按钮。把 “activex控件及插件”的一切设为禁用。禁止outlooke xpress的自动收发邮件功能。3. sv让病毒专杀设计分析1) .脚本病毒特征病毒具备爱虫病毒的部分功能，是以爱虫病毒为基础, 减弱其破坏性，并将感染范围控制到一定的范围内的模拟 病毒。使用记事本打开文件c:expni santivir- labvirusscriptvir根据爱虫病毒原理和源代码中的相 关注释了解

12、它的工作原理和感染现象。2) .脚本病毒专杀工具设计vbs是一种较为常用的脚本语言，它语法简单而且功能 强大，我们下面介绍如何使用vbs脚本语言编程实现脚本 病毒专杀工具。为了使程序更清晰易懂，我们应使用模块化设计，也 易于为程序扩展新功能。我们将专杀工具分为四个功能模 块，各模块的作用分别是删除病毒文件、删除病毒添加的 自启动项、查杀指定目录下的病毒文件和结束病毒进程。3) .结束病毒进程在查杀病毒时应该首先结束病毒的进程再进行其它操作，但我们现在查杀的是脚本病毒，使用的工具也是脚本 语言，它们都是由windows脚本宿主“”解释执行的，所 以如果我们首先就将此进程结束，则专杀工具程序的其它

13、 部分就不能工作了。因此在查杀脚本病毒时要在专杀程序 其它模块的工作完成后，再结束此进程。 我们可以通过下列代码结束指定的进程。setw=getob ject ("winm gmts :)s etp=(/zsele ct*fromwin 32_process wherename二') foreac hiinpnext首先通过 getob ject(winm gmts:)获得 w mi 对象，wmi (w indowsmana gementlnst rumentatio n)技术是微软提 供的windows下的系统管理工具。在wmi对象下有很多的子 项，在这里我们要获得系统中所

14、有的进程列表子项中名为 “ ”的进程，然后使用termina te方法结束此进程。4) .删除病毒文件下面代码用于删除指定目录中的指定文件。setdel=()dl= (z/%sys temroot%s ystem32)setvirl 二(d 1)expand environmen tstrings方法用于返回环境变量的 扩展值，%system root%即是 “c:windows” 目录。getfile 方法用于在指定的路径中返回相应的对象，然后使用此对 象的dele te方法将指定文件删除。5) .删除病毒添加的自启动项使用regdelete方法来删除指定的注册表项，如下面代码所示：set

15、reg=(，/)hkey_l 0calj1achi nesoftwar emicrosof twindowscurrentver sionrunmskernel32/z6) .查杀指定目录下的病毒文件在这个模块中我们可以使用病毒源码中遍历文件夹和 感染文件的部分代码，实现查杀病毒的功能。subfolderl ist (folder spec)onerr orresumene xtdimf, fl, sfsetf二(fo lderspec)s etsf=forea chf linsfclearvirus()'查杀指定目录中的病毒文件fol derlisto,递归，继续搜索子目录nexte

16、ndsub此模块作用是遍历指定文件夹及其子文件夹，然后调用病毒查杀模块clearvir us进行杀毒。根据病毒的特点，对目录中的文件的扩展名进行判断。如果是扩展名为“vbs”的文件，则使用delete方法删除。如果不是，则 使用文件attrib utes的属性将此文件属性改为“0”，即普 通文件。根据病毒源码中的相关部分编写相应的杀毒模块。三、主要仪器设备w indows操作系统，交换网络结构，u1 traedit-32windows脚本宿主wsho四、操作方法与实验步骤本练习单人为一组。首先使用“快照x”恢复wi ndows 系统环境。1观察病毒感染现象查看病毒要感染和修改的目标项。进入实验

17、平台，点击工具栏中的''实验目录”按钮，进入脚本病毒实验目录，使用ultraed it或记事本打开病毒文件查看其源码。由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表中添加启动项，再感染指定目录下的 文件，最后显示发作信息。因此我们要查看这些相关项在 病毒发作前的状态。根据病毒源码，查看如下项：?系统目录下的病毒副本在“c:wind0ws ”目录及其子文件夹中搜索是否有文件“”。？注册表中的开机启动项注册表键 hke y_l0cal_ma chinesoft waremicro softwindo wscurrent versionru n 下是否有 msker

18、 nel32 项。?指定感染目录下的文件查看目录 c:exp nisantivi rlabviru sscriptvi rvba中的子目录及不同类型的文件是否都变成以“.vbs 结尾的脚本文件。双击“”运行病毒文件。反病毒技术实验报告一.脚本病毒概述脚本程序的执行环境需要wsh环境，ws h为宿主脚本 创建环境。即当脚本到达计算机时，wsh充当主机的部分， 它使对象和服务可用于脚本，并提供一系列脚本执行指南。wsh是微软提供的一种基于32位win dows平台的、与 语言无关的脚本解释机制，它使得脚本能够直接在windows 桌面或命令提示符下运行。利用wsh用户能够操纵wsh对 象、act

19、ivex对象、注册表和文件系统，还可以访问活动目录服 务。wsh依赖于ie提供的visualbas icscript和j avascript脚本引擎，所对应的程序"c:window s”是一 个脚本语言解释器。visual basicscrip t 和 javascri pt 作为客户端编程语言，当一个以该语言编制的程序被下载 到一个兼容的浏览器中时，浏览器将自动执行该程序。“爱虫”、"欢乐时光”、“尼姆达”、“求职信”等病毒 都是属于这一类的病毒。脚本病毒的主要特点：由于脚本是直接解释执行，可以直接通过自我复制的 方式感染其它同类文件，并且使异常处理变得非常容易。脚本病毒

20、通过ht ml文档、ema订附件或其它方式，可 以在很短的时间内传遍世界各地，通常是使用在邮件附件 中安置病毒本体的方法，然后利用人们的好奇心，通过邮 件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。新型的邮件病毒邮件正文即为病毒，用户接收到带毒 邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过 预览功能病毒也会被自动激活。病毒源码容易被获取，变种多。由于vbs病毒解释执 行，其源码可读性好，即使病毒源码经过加密处理后，其 源码的获取还是比较简单。因此，这类病毒稍微改变一下 病毒的结构或者特征值，很多杀毒软件可能就无能为力了。欺骗性强。脚本病毒为了得到运行机会，往往会采用 各种让用户不太

21、注意的手段，譬如，邮件的附件采用双后 缀，如或，由于系统默认不显示后缀，这样，用户看到此 文件时就会认为它是一个jpg图片或文本文件。二.爱虫病毒分析1.病毒简介“爱虫”病毒从2000年5月4日开始在欧洲大陆迅速 传播，并向全世界蔓延。该病毒别名叫做lov eletter、lo vebug> very funny。它采用v bscript编写，其传播原理 是通过mi crosoftout look将名为""的邮件发送给用户 地址薄里所有的地址。它可以产生文件，将包括病毒的文 件通过mirc蔓延到internet聊天室中。该病毒还有多个 发作破坏模块，查找本地驱动器和网

22、络驱动器，在所有目 录和子目录中搜索可以感染的目标女口： vbs 、vbe、 . js、jse、css、wsh> .set、hta、 jpg、jpeg、 wav > txt、 gif > doc> htm > html> xl s、 . ini、ba t、com、mp 3、mp2 等,它用病毒代 码覆盖原有的内容，并在文件名后面添加.vbs的扩展名， 从而取代宿主文件。.inp2和.mp3文件被隐藏起来，并未破 坏。当病毒运行后会在系统中留下以下文件：windows；system；systeml0 ve-letter_for_。该病毒还修改注册表中的一些路径

23、以便在启动win dows时运行。它还在windowssystem下搜索名为的文件, 如果该文件不存在，则修改ie的默认初始页面下载 的文件，并修改注册键值为：hklmso ftwaremic rosoftwin dowscurre ntversiion runwin-b ugsfix。该病毒已经有很多变种，并被反病毒厂家定为高危险 性病毒。所以，提醒用户在接收电子邮件之前，一定要先 升级自己的杀毒软件，拦截住这种破坏性很大的病毒。另 外，广大用户除了不要冒然打开不明真相的英文邮件及附 件外，最好也不要浏览陌生网站和下载其中内容。2 .病毒的杀毒步骤在windows下查看进程列表中是否有w s

24、cript这个文 件，如有此文件说明已经感染。将该文件“结束任务”。进入c:windowss ystem中，运行选择“启动"模板, 将所有的后缀为“*.vbs”的文件选择为禁用状态。在保证内存中无wscript这个文件后，重启计算机。查找一个叫的文件并删除它，如果安装了 mirc则删除 文件，删除含附件的emailo 打开注册表编辑器并删除下列键值：hkey_curr ent_users oftwaremi crosoftwindowscurrentversionrunmskernel32 ； hkey_current_usersoftwaremicrosoftwindowscurr

25、entversionrunserverwin32dll ； hkey_current_usersoftwaremicrosoftwindowscurrentver sionrunw in-bugfixo3.病毒各模块功能介绍爱虫病毒的结构化做得很好，各个模块功能非常独立, 彼此并不相互依赖，流程也非常清楚，下面对每个函数过 程的功能作一简单介绍。main爱虫病毒的主模块，它集成调用其它各个模块。regruns该模块主要用来修改注册表run下面的启动项指向病 毒文件、修改下载目录，并负责随机从给定的4个网址中下载文件，并使启动项指向该文件。 html该模块主要用来生成文件，该htm文件执行后会执

26、行 里面的病毒代码，并在系统目录生成一个病毒副本文件。 spreadtoe mail该模块主要用于将病毒文件作为附件发送给outl。ok 地址薄中的所有用户，也是破坏性最大的一个模块。lista driv该模块主要用于搜索本地磁盘，并对磁盘文件进行感 染。它调用了 folde rlisto函数，该函数主要用来遍历整 个磁盘，对目标文件进行感染。folder list 0函数的感染 功能实际上是调用了infectfile ()函数。infet cfile0可 以对十余种文件进行覆盖，并且还会创建文件，以便于利 用irc通道进行传播。4.脚本病毒的预防和清除脚本病毒的运行和传播有如下特点：vbs代

27、码是通过windowss cripthost来解释执行的。 vbs病毒的运行需要其关联程序的支持。大部分vbs病毒运行的时候需要用到一个对象：f ilesystemo bject。通过网页传播的脚本病毒需要activex的支持。通过emai 1传播的病毒需要0e的自动发送邮件功能支 持。防范脚本病毒措施有：卸载 wind owsscripti nghost打开“控制面板”丨“添加/删除程序”丨“wi ndows安 装程序”丨“附件”丨取消“windowsseri ptinghost" 一项。禁用文件系统对象f订esys temobject用regsvr32 /u这条命令就可以禁止文件

28、系统对象。其 中regsvr32是w indowssys tem下的可执行文件。或者直 接查找文件删除或者改名。在w indows i录中，找到，更改名称或者删除。设置浏览器。首先打开浏览器，单击菜单栏里“inter net选项”安全选项卡里的“自定义级别”按钮。把 “activex控件及插件”的一切设为禁用。禁止0e的自动收发邮件功能。三. svir病毒专杀设计分析1.脚本病毒特征病毒具备爱虫病毒的部分功能，是以爱虫病毒为基础, 减弱其破坏性，并将感染范围控制到一定的范围内的模拟 病毒。使用记事本打开文件c:expnisant ivir-labv irusscrip tvir根据爱虫 病毒原

29、理和源代码中的相关注释了解它的工作原理和感染 现象。2.脚本病毒专杀工具设计vbs是一种较为常用的脚本语言，它语法简单而且功能 强大，我们下面介绍如何使用v bs脚本语言编程实现脚本 病毒专杀工具。为了使程序更清晰易懂，我们应使用模块化设计，也 易于为程序扩展新功能。我们将专杀工具分为四个功能模块，各模块的作用分别是删除病毒文件、删除病毒添加的 自启动项、查杀指定目录下的病毒文件和结束病毒进程。3结束病毒进程在查杀病毒时应该首先结束病毒的进程再进行其它操作，但我们现在查杀的是脚本病毒，使 桂林电子科技大学数学与计算科学学院实验报告实验八脚本病毒一、实验目的1了解脚本病毒的工作原理;2.观察病毒

30、感染现象并手工查杀病毒。二、实验环境1.本练习由单人为一组进行。2.首先使用“快照x”恢复win dows系统环境。三、实验原理恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。vbs病毒是用vbscript编写而成，该脚本语言功能非 常强大，它们利用windows系统的开放性特点，通过调用一 些现成的windo ws对象、组件，可以直接对文件系统、注 册表等进行控制，功能非常强大。2000年5月4日，在欧美爆发了 “爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。这 个病毒是通过microsof toutlook电子邮件系统传播的，邮

31、件的主题为“ilove you”，并包含一个附件。一旦在mier osoftoutlo ok里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。这个病毒属于vbs 脚本病毒，可以通过html, ire, ema订进行大量的传播。病毒具备“爱虫”病毒的部分功能，是以"爱虫”病 毒为基础，减弱其破坏性，并将感染范围控制到一定的范 围内的模拟病毒。四、实验步骤1.网页恶意代码(1) 恶意网页1新建记事本，在文本中编写如下代码，保存代码并退 出，更改扩展名.txt为.html ,双击页面，观察页面效果。varcolo r=newarray color l=/blackz/

32、 colo r 二whit e for (x=0;x =color x if (x=2)x 二 0页面效果：。并说明其实现原理：。(2) 恶意网页2新建记事本，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.htm 1,双击页面，观察页面效果。 nofunc tionopenwi ndow()for (i=0;i("http:/")页面效果：并说明其实现原理：。2病毒专杀工具设计(1)观察病毒感染现象 查看病毒要感染和修改的目标项。进入实验平台，点击工具栏中的''实验目录”按钮， 进入脚本病毒实验目录，使用ultraedit或记事本打开病毒文件查看其源码。由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表中添