目录
实验步骤一:vbs-virus病毒生成器的了解与操作,实现脚本病毒的源码生成
一、实验目的及要求
1、掌握脚本病毒的原理;
2、了解脚本病毒的攻击过程;
3、了解网页恶意代码的基本概念;
4、了解典型的脚本病毒的破坏结果;
5、掌握典型脚本病毒的清除方法。
二、实验原理
脚本病毒
脚本病毒通常是 JavaScript 或 VBScript 等语言编写的恶意代码,一般广告性质,会修改 IE 首页、修改注册表等信息,对用户计算机造成破坏。 通过网页进行的传播的病毒较为典型,脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)、红色代码(Script.Redlof)等。一般具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性等不良特性;其生命周期一般为开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
三、实验环境
WindowsXP
四、实验步骤及内容
实验步骤一:vbs-virus病毒生成器的了解与操作,实现脚本病毒的源码生成
在实验机的桌面上找到“脚本病毒生成器”文件夹,解压里面的文件找到virl图标
1. 双击图标,将出现创建计算机脚本病毒代码的引导步骤。


2. 在上图中点击下一步操作,在图中选择“复制病毒副本到系统文件夹”的多选框。见图示:

开机提示由于连接方式的原因会看不到效果,建议使用自己的虚拟机测试时再选择设置

3. 一直点击"下一步"操作,选择保存生成脚本代码的文件夹,再点击"开始制造"生成vbs脚本病毒,如图示:


4. 打开脚本代码所在文件夹,用记事本打开我们刚生成的vbs脚本代码。

双击执行first.vbs脚本病毒,使用命令 shutdown -r -t 5 重启机器

重新启动后我们会在目录/windows/system32中看到一个Win32system的vbs脚本,如图示:

这个文件则是由first.vbs脚本文件执行后复制到系统文件夹中的文件。
实验步骤二:复制病毒副本地启动菜单
生成脚本病毒代码,解析运行自动复制到启动菜单栏中。
1. 在病毒制造机中选择"复制病毒副本到启动菜单栏中",且病毒副本的文件名为"Win32system";见图示:

2. 如果不要添加特定的效果,选择"下一步"直到选择脚本病毒文件存储位置,点击"开始制造"生成脚本病毒文件,如图示:

双击second.vbs脚本文件,重启计算机后则可以再启动菜单中看到如图所示效果:


上面生成的脚本可能在某些环境下无法完成将脚本文件复制到启动菜单的任务,我们这里给出另一个脚本代码,供大家参考:
此脚本将自身复制到启动目录
set fso = createobject("scripting.filesystemobject") '创建文件系统对象
set ws = createobject("wscript.shell") '创建wsh对象
pt = ws.specialfolders("startup") & "\" '获取启动目录路径
set file = fso.getfile(wscript.scriptfullname) '获取vbs脚本自身
file.copy pt '将脚本复制到启动目录
此法将脚本写进注册表启动项
set ws = createobject("wscript.shell")
ws.regwrite "HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\newrun",wscript.scriptfullname,"REG_SZ"
在某些系统中会出现启动报错,建议大家使用管理员权限执行脚本。
实验步骤三:禁止显示桌面所有图标
本任务生成脚本病毒代码,实现桌面所有图标功能的禁止。
1. 脚本病毒代码的生成
打开病毒制造机,在禁止功能选项中选择"禁止显示桌面所有图标"菜单,保存脚本文件。

2. 查看并执行脚本文件
记事本打开脚本文件,我们可以看到禁止这些功能的病毒脚本

双击运行脚本文件,重启计算机后我们可以看到桌面所有图标都不可见,如图所示:

3. 系统还原操作
运行resert.vbs脚本文件,重启计算机后桌面上的快捷图标便可还原。
五、实验总结
通过这个实验我们对与脚本病毒的原理有了深入的了解,一般是通过javascript或者VBScript语言编写的恶意代码实现,一般会修改注册表,浏览器首页,我们通过vbs-virus病毒实现了源码生成,复制病毒到本地启动菜单,将所有桌面图标不显示,并且脚本病毒编写简单容易利用,而且复制速度快,传播速度快。
六、分析与思考
1)在本实验环境中,进行病毒实验时,如果没有看到任何实验现象会是什么原因?
环境命令问题,可以利用注册表编写规则
2)在本实验中,核心代码使用什么语言实现的?为什么能够实现?
VBScript ,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制。
vbs的原理是因为它先将病毒自身代码赋给字符串变量,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后把目标文件删除,只要一打开,病毒就自动运行。
3)对病毒防范中的防范方法进行测试并思考,能否提出新的防范方法?
1.禁用文件系统对象FileSystemObject
2.卸载Windows Scripting Host
3.删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
4.在Windows目录中,找到WScript.exe,更改名称或者删除,如果你觉得以后有机会用到的话,最好更改名称好了,当然以后也可以重新装上。
5.要彻底防治VBS网络蠕虫病毒,还需设置一下你的浏览器
6.禁止OE的自动收发邮件功能
7.将系统的网络连接的安全级别设置至少为“中等”
4)在windows2000/XP系统环境下,新欢乐时光病毒如何实现病毒体在系统启动时自动运行?
修改注册表的启动项,病毒代码的执行模块应该被加密。