| 網絡的流行,讓我們的世界變得更加美好,但它也有讓人不愉快的時候。比如,當你收到一封主題為“I Love You”的郵件,興沖沖的雙擊附件想欣賞一下這封“情書”的時候,卻在無意當中成為了病毒的受害者和傳播者;或者在瀏覽某個網頁的時候,瀏覽器標題欄就變成了類似“歡迎光臨……”,而默認主頁也被修改,并且自己的注冊表莫名其妙的被“鎖定”了,即當我們運行“regedit.exe”時,系統彈出一個諸如:“注冊表已被管理員所禁用,請找系統管理員聯系……”等等字樣;更有甚者,聽說瀏覽網頁時,自己的硬盤還可能會被悄悄格式化……太可怕了!真有這樣的事嗎?
當然是真的,不信,那你敢接著往下看嗎?。 其實這個愛蟲病毒(“I Love You”的郵件)和那些惡意破壞你系統的網頁并不可怕,它們都是由幾句并不復雜的VB Script代碼編寫而成的,只要你弄清楚其中的道理,就自然會有應付它們的辦法,那時候你還會擔心它們嗎?本文就對破壞系統的網頁“黑手”加以分析,并給出防范和修復方法,讓大家都能過上“平安幸福的生活”。 說道VB Script,還得從WSH說起。 一、什么是WSH? WSH是Windows Scripting Host(Windows腳本主機)的縮略形式。WSH這個概念最早出現于Windows 98操作系統,是一個基于32 位 Windows 平臺、并獨立于語言的腳本運行環境。比如:你自己編寫了一個腳本文件,如后綴為 .vbs 或 .js 的文件,然后在 Windows 下雙擊并執行它,這時,系統就會自動調用一個適當的程序來對它進行解釋并執行,而這個程序,就是 Windows Scripting Host,程序執行文件名為 Wscript.exe (若是在DOS命令提示符下,則為 Cscript.exe)。 想知道自己的機器上有沒有WSH嗎?查看一下你的機器里有沒有“Wscipt.exe”或者“Cscript.exe”這兩個文件就可以了。如果找到,恭喜你!你已經安裝了WSH。否則,自己手動安裝吧: 在Windows 98環境下,WSH是作為操作系統的一個組件自動安裝的,如果不慎丟失了這個組件,可以從依次打開“控制面板-->添加/刪除程序--〉Windows安裝程序--〉附件”,然后將“Windows Scripting Host”前的劃上“√”,再確定即可完成WSH組件的安裝。 二、腳本語言與WSH的關系 大家知道,腳本語言(包括JavaScript和VBscript語言等)經常會被植入網頁之中(其中包括 HTML 頁面客戶機端和 ASP 頁面服務器端)。對于植入 HTML 頁面的腳本,其所需的解析引擎會由 IE 這樣的網頁瀏覽器載入;對于植入 ASP 頁面的腳本,其所需的解析引擎會由 IIS(Internet Information Services)提供。而對于出現在 HTML 和 ASP 頁面之外的腳本(它們常以獨立的文件形式存在),就需要經由 WSH 來處理了。需要說明的是:WSH 要想正常工作,還要安裝IE 3.0 或更高版本的 IE,因為 WSH 在工作時會調用 IE 中的 VBScript 和 JavaScript 解析引擎。 [未結束][iduba_page]在這些被植于網頁的腳本語言中,絕大多數是與網絡安全無關的。但也有少數別有用心的好事者,把一些嚴重危及網絡安全的代碼(我們常常稱之為“惡意代碼”,他們通常都要通過修改注冊表達到“惡意”的目的!),混放在正常的腳本之中,常常讓我們防不勝防。但是,如果我們了解一點關于腳本語言的知識,這些“伎倆”都是非常容易識破的。還是讓我們從幾個簡單的實例開始吧…… 三、WSH應用舉例 WSH可以處理腳本程序,怎樣閱讀和編寫WSH的腳本源文件呢?只要你有一點Basic(會VB的編程更好,呵呵)語言的基礎,學會看懂WSH腳本語言的程序并不是一件難事。去C:WINDOWSSAMPLESWSH目錄以下將看看吧!里面提供了幾類經典的腳本例子,而且分別提供了VBScript和JavaScript兩個版本,我們只要用記事本打開它們并仔細研究就不難學到一些基本的WSH應用。 你只需在記事本中依次輸入以下每個實例中的代碼,并保存為相應的“*.vbs”文件,雙擊這個文件,你就可以看到相應的效果了。 〖實例一〗效果:彈出對話框窗口“歡迎共同學習WSH”。 WScript.Echo(“歡迎共同學習WSH”) 〖實例二〗效果:在D盤根目錄下建立二十個新文件夾。 dim objdir set objdir=WScript.Createobject("Scripting.filesystemobject") for k=1 to 20 sNewFolder="d:WSHsample" & k ‘給新的文件夾命名 objdir.Createfolder(sNewFolder) next 〖實例三〗效果:使用 Windows Scripting Host 在c:創建一個文本文件testfile.txt ‘text.vbs 這是本文件的文件名 Set RegWsh = Wscript.CreateObject("Wscript.Shell") RegWsh.Run ("notepad " & Wscript.ScriptFullName) ‘上面用SHELL對象啟動程序 Set fs = Wscript.CreateObject("Scripting.FileSystemObject") Set a = fs.CreateTextFile("c:testfile.txt", True) a.WriteLine("這只是一次測試。請檢查你的機器的c:是否有testfile.txt文件出現?") a.Close 很簡單,是吧?呵呵,是的。只要你有一點點程序設計的基礎,看懂以上幾個實例中的代碼是非常容易的,你也可以試著編制一些類似的“腳本”實例了…… 然而,正是因為腳本編程的門檻低,容易上手,所以在給我們的生活帶來方便和高效的同時,也為少數“不法分子”提供了可乘之機。常見的惡意代碼有什么特征呢?最根本的一條就是對系統注冊表的訪問。怎樣利用腳本訪問注冊表? [未結束][iduba_page]四、用VBScript腳本訪問注冊表 用VBScript或者Javascript都可以編寫腳本程序。鑒于VBscript語言更接近VB,相信有更多的朋友都是從BASIC語言開始學編程的。所以本文不想介紹Javascript,而重點介紹VBscript。用VBscript編寫的WSH程序文件的擴展名為.vbs,該腳本程序在圖形界面下是由wscript.exe文件解釋執行的,一般直接雙擊.vbs文件即可由系統自動調用wscript.exe進行解釋并執行。在字符界面(DOS方式)下則是由cscript.exe文件解釋執行的,命令格式為:cscript filename.vbs。先來看看幾個相關的操作和方法: 1、創建對象 用VBScript訪問注冊表,必須先創建一個能與操作系統溝通的對象,再利用該對象的各種方法對注冊表進行操作,創建這個對象的方法和格式如下: Set 對象變量名=WScript.CreateObject("WScript.Shell") 如:Set regwsh=WScript.CreateObject("WScript.Shell") 就可以創建一個名為“regwsh”的對象。 2、該對象常用的方法 有了以上這個對象,還要借助它的幾個重要的方法,才能達到訪問注冊表的目的。常用的方法有: ①讀注冊表鍵值的操作RegRead 格式:object.RegRead(路徑參數) ②創建/修改注冊表鍵值的操作RegWrite 格式:RegWrite 路徑參數, 值 [,值類型] 說明:當被操作的“路徑參數”不存在時,創建該主鍵或鍵值;反之,則修改原有的鍵值。 ③刪除注冊表鍵值的操作RegDelete 格式:RegDelete 路徑參數 3、關于路徑參數的說明 該路徑參數指出了操作的對象。它由根鍵、主鍵路徑和鍵值三部分組成,各部分表示的方法如下: ①根鍵 根鍵有兩種表示方法:縮寫形式(short)和完整形式(Long)。相互的對應關系為: Short Long HKCU HKEY_CURRENT_USER HKLM HKEY_LOCAL_MACHINE HKCR HKEY_CLASSES_ROOT 而對于 HKEY_USERS 和 HKEY_CURRENT_CONFIG 兩個根鍵則沒有縮寫形式。 ②主鍵路徑 主鍵路徑就是目標鍵在注冊表中的主鍵位置,各個主鍵之間用""符分隔開。如:"SoftwareMicrosoftWindowsCurrentVersionPolicies" ③鍵值 鍵值參數可以省去不寫。在這種情況下,整個路徑參數就以""結尾。這時,所有的操作都只針對整個主鍵來進行,而不是該主鍵的某個鍵值。如果想對某個主鍵下的某個鍵值進行操作,則應包含這一部分,直接接在主鍵路徑之后即可。 例如一個完整的路徑參數如下所示:"HKCRSoftwareMicrosoftWindowsCurrentVersionPoliciesNoRun" [未結束][iduba_page]4、應用舉例 〖應用之一〗 以下將是一個創建、讀取顯示、修改和刪除注冊表項的腳本示例。程序在每一次進行注冊表的操作之前,都會給出相應的提示,建議大家在運行本程序之前,用一個窗口打開本腳本的源代碼,在另一個窗口打開注冊表編輯器,并找到HKEY_CURRENT_USER根鍵。在每一次出現提示之后,不要急于點擊“確定”,按 ‘DEMO.vbs 這是腳本程序的文件名 Dim RegWsh,sReadKey,sPrompt,sFixprompt sFixprompt=chr(13)&chr(10)&" 是否與寫入的內容相一致?:) :-) :--)" MsgBox "此腳本顯示如何創建、讀取、修改和刪除注冊表項。" Set RegWsh = WScript.CreateObject("WScript.Shell") MsgBox "創建項 HKCUMyRegKey,數值為 ‘一級鍵值‘" RegWsh.RegWrite "HKCUMyRegKey", "一級鍵值" sReadKey=RegWsh.RegRead("HKCUMyRegKey") sPrompt="(默認)鍵值為:‘"&sReadKey&"‘"&sFixprompt msgbox "讀取的HKCUMyRegKey下"&sPrompt MsgBox "創建項 HKCUMyRegKeyEntry,數值為 ‘二級子鍵‘" RegWsh.RegWrite "HKCUMyRegKeyEntry", "二級子鍵" sReadKey=RegWsh.RegRead("HKCUMyRegKeyEntry") sPrompt="(默認)鍵值為:‘"&sReadKey&"‘"&sFixprompt msgbox "讀取的HKCUMyRegKeyEntry下"&sPrompt MsgBox "修改 HKCUMyRegKeyEntry(默認)鍵值為:‘修改后的二級子鍵‘" RegWsh.RegWrite "HKCUMyRegKeyEntry", "修改后的二級子鍵" sReadKey=RegWsh.RegRead("HKCUMyRegKeyEntry") sPrompt="(默認)鍵值已經修改為:‘"&sReadKey&"‘"&sFixprompt msgbox "讀取的HKCUMyRegKeyEntry下"&sPrompt MsgBox "將數值項 HKCUMyRegKeyValue 設為字符類型(REG_SZ),數值為 1" RegWsh.RegWrite "HKCUMyRegKeyValue", 1 MsgBox "將數值項 HKCUMyRegKeyEntry 設為 雙字節型(REG_DWORD),數值為 2" RegWsh.RegWrite "HKCUMyRegKeyEntry", 2, "REG_DWORD" MsgBox "將數值項 HKCUMyRegKeyEntryValue1 設為 二進制類型(REG_BINARY),數值為 3" RegWsh.RegWrite "HKCUMyRegKeyEntryValue1", 3, "REG_BINARY" [未結束][iduba_page]MsgBox "以下將刪除 HKCUMyRegKeyEntryValue1 數值" RegWsh.RegDelete "HKCUMyRegKeyEntryValue1" MsgBox "以下將刪除 HKCUMyRegKeyEntry 主鍵" RegWsh.RegDelete "HKCUMyRegKeyEntry" MsgBox "以下將刪除 HKCUMyRegKey 主鍵" RegWsh.RegDelete "HKCUMyRegKey" 從上面的例子可以看出,用腳本訪問注冊表其實也很簡單。當然,我們也可以將用VBScript編寫的腳本代碼放在網頁文件(Html文檔)之中,這時,一般無需對代碼進行任何更改,只需要在VBScript代碼的前后,分別加上即可。下面我們再舉一例進行說明: 〖應用之二〗帶毒網頁解析 點擊這里看帶毒網頁演示。如果提示網頁上有錯誤,請下載到本地運行。 [說明]:在使用上面這個“〖應用之二〗帶毒網頁解析”例子的時候,請注意有一定的危險性。一定要事先做好注冊表的備份!如果出現其他異常情況,請盡快用后文中的recover.htm進行恢復!!! 有了前面所學的知識,我們已經知道,在網頁中調用腳本語言訪問注冊表,其實是很容易的一件事。但如果所訪問的注冊表的鍵值被蓄意的進行了惡意的修改……呵呵。我們的系統的安全性就受到了嚴峻的挑戰。 |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
