一直就想寫(xiě)這篇東西了，只是上班時(shí)說(shuō)要上班，不寫(xiě)，回家后又忙著玩游戲，丟一邊去了?，F(xiàn)在只好不務(wù)正業(yè)的開(kāi)寫(xiě)了，希望頭兒不會(huì)知道我的blog。哈哈 　　在很久之前就對(duì)HTML的病毒很感興趣了，很好奇怎么能遠(yuǎn)程向本地不經(jīng)過(guò)允許就能下載可執(zhí)行文件的，只是一直沒(méi)機(jī)會(huì)搞得到ASP的原碼，所以不才敢斷章取義的去作什么分析。最近一次聽(tīng)一朋友說(shuō)他看一個(gè)網(wǎng)頁(yè)時(shí)病毒防火墻提示有病毒，叫我小心(先感謝一下他先)，我閃了一下念頭，就打開(kāi)FlashGet把那個(gè)病毒首頁(yè)下了下來(lái)。 　　稍微看了一下發(fā)現(xiàn)在首頁(yè)代碼的下面幾行里有一個(gè)隱含的浮動(dòng)幀。其引用的URL地址并不是本地的，感覺(jué)應(yīng)該是了，然后再次動(dòng)用FlashGet下了下來(lái)。居然發(fā)現(xiàn)放病毒的空間不支持ASP，下下來(lái)的ASP文件是源文件。這樣興趣來(lái)了，三下五除二的把所有病毒的相關(guān)文件都下了下來(lái)。 　　由于這個(gè)病毒很簡(jiǎn)單，所以我也只摘抄了一些片段而以，如果實(shí)在感興趣的話，不防去找一個(gè)有病毒的網(wǎng)頁(yè)瞅瞅，不過(guò)，不要用IE去看，要用FlashGet等下載工具下載下來(lái)，再用記事本打開(kāi)，不然中招了可不要來(lái)找我，好了正文開(kāi)始。 　　真正的病毒有三個(gè)文件，一個(gè)是引導(dǎo)文件，一個(gè)是下載文件，第三個(gè)是激活文件。 　　第一個(gè)引導(dǎo)文件 　　　　關(guān)鍵部分是： 　　　　　　　　這個(gè)作用是將下載和激活兩個(gè)文件當(dāng)作該頁(yè)的對(duì)象來(lái)引用并運(yùn)行，這個(gè)也是病毒文件能夠在本地進(jìn)行感染的關(guān)鍵地方，在引用的文件里居然能夠無(wú)阻礙的引用客戶(hù)端的Action組件，唉唉，這就是那把刀啊。 　　第二個(gè)是下載exe病毒文件 　　　　然后是怎么將exe下載下來(lái)，而不彈出下載的提示框呢。這個(gè)是收下載文件來(lái)完成的任務(wù)。 　　　　該病毒的作法是在服務(wù)器端用Microsoft.XMLHTTP組件和response.contenttype = "image/gif"將病毒文件以圖片格式下載到客戶(hù)端的網(wǎng)頁(yè)緩存里(這里是很簡(jiǎn)單的Get/BinaryWrite操作，就不詳細(xì)說(shuō)了)。 　　第三個(gè)是激活 　　　　感覺(jué)激活的過(guò)程很巧妙，病毒是先用fso在c:\下生成一個(gè)hta文件，將激活過(guò)程寫(xiě)到這個(gè)文件里。然后再用WScript.Shell來(lái)運(yùn)行這個(gè)文件。這樣，激活過(guò)程中需要大權(quán)限的操作(比如：寫(xiě)注冊(cè)表操作)就沒(méi)問(wèn)題了。 　　　　具體操作過(guò)程是這樣的。將在網(wǎng)頁(yè)緩存目錄里的病毒文件移動(dòng)到系統(tǒng)文件目錄，然后改名為win.exe。再往注冊(cè)表里寫(xiě)入自啟動(dòng)的鍵，使得病毒能在系統(tǒng)重啟后自動(dòng)啟動(dòng)，然后刪除hta文件，完成感染和激活。 　　這就是病毒的基本運(yùn)行過(guò)程(依照慣例病毒破壞部分就不提了)，但是這個(gè)對(duì)我們有什么用呢，其實(shí)這種病毒我是很討厭的，但是，其下載exe和激活過(guò)程還是有可利用的地方的。比如：你作的系統(tǒng)必須要客戶(hù)端下載一些組件并激活后才能使用的，這種操作面對(duì)了解的人當(dāng)然是不成問(wèn)題，但是如果你面對(duì)的是那種網(wǎng)絡(luò)是什么都還沒(méi)搞清林的用戶(hù)時(shí)，我估計(jì)系統(tǒng)還沒(méi)開(kāi)始使用你的電話就要打爆了。如果借用種方式，在對(duì)方允許的情況下自動(dòng)下載組件，并自動(dòng)激活，那就省事多了，是吧。 　　不過(guò)，這種方式對(duì)小形文件是很方便，如果要下載1m以上的文件..那就要考慮多線程下載的操作了，當(dāng)然這個(gè)不是這篇文章的范圍了。以后有機(jī)會(huì)再說(shuō)說(shuō)用ASP+XML實(shí)現(xiàn)WEB多線程上傳多線程下載的方法吧。

最新評(píng)論