网络黑手如何侵入你的windows系统

点评：网络的普及使我们的世界成为一个更好的地方，但它也有一个不愉快的时间。例如，当你收到我的爱的主题，你的一封邮件，双击附件兴奋地想享受爱的信，但都成了受害者，病毒传播者；或浏览一个网页时，在浏览器的标题栏会变成

互联网的普及使我们的世界成为一个更好的地方，但它也有一个不愉快的时间。例如，当你收到我的爱的主题，你的一封邮件，双击附件兴奋地想享受爱的信，但都成了受害者，病毒传播者；或浏览一个网页时浏览器的标题栏将成为受欢迎的......默认主页也被修改，其注册表是奇怪的锁。这是当我们运行REGEDIT.EXE，系统弹出如：注册表被管理员禁用，请联系系统管理员。等等；甚至，当你听到一个网页，你的硬盘可能悄悄地格式化…这是可怕的 uff01is有像这样的东西吗

当然，这是真的。不要相信。你敢往下看吗

事实上，爱虫（我爱你的邮件）和那些恶意破坏你的系统并不可怕，他们不复杂的几个VB脚本代码写，只要你了解真相，它将不得不处理他们，然后你会担心他们吗本文分析了网页的黑手破坏系统，并提出了预防和修复的方法，使每个人都能过上安全快乐的生活。

说VB脚本，你必须谈论它从WSH。

一、想的是什么

WSH的缩写是Windows脚本宿主（Windows脚本宿主）。WSH的概念第一次出现在Windows 98操作系统，脚本运行环境基于32位Windows平台和独立的语言。例如：你写一个脚本文件，如后缀.vbs或.js文件，然后双击执行它的Windows，然后系统会自动调用相应的程序的解释和执行，而这个程序是Windows脚本宿主，可执行文件名为Wｓｃｒｉｐｔ.exe（如果cｓｃｒｉｐｔ .exe DOS命令提示符）。

你想知道如果有你的机器上的WSH看看有没有在你的机器wscipt.exe或cｓｃｒｉｐｔ.exe两个文件。如果你找到了，恭喜你！你已经安装了WSH。否则，安装它自己。

Windows 98环境下，想作为一个自动安装的操作系统的组成部分，如果不小心丢失了这个组件，可以从添加/删除程序窗口设置->控制面板附件然后Windows脚本宿主——>，Mark V，然后可以确定WSH组件安装完成。

两。之间的关系和WSH脚本语言

你知道的，脚本语言，包括Javaｓｃｒｉｐｔ和VBｓｃｒｉｐｔ语言，往往是植入网页HTML页面，包括客户端和服务器的ASP页面，脚本植入HTML页面解析引擎，需要将Web浏览器如IE的脚本植入ASP页面加载，解析引擎将提供所需的通过IIS（Internet信息服务），出现在HTML和ASP页面脚本，这往往存在于一个单独的文件，他们需要通过WSH。需要说明的是，如果想要正常工作，还需要安装IE 3或更高版本的IE，因为WSH将调用VBｓｃｒｉｐｔ和Javaｓｃｒｉｐｔ解析引擎在伊江工作时没有结束。{ } { }在iduba_page在Web上植入的ESE脚本语言，其中绝大多数与网络安全无关，但也有一些别有用心的人，并编写了一些严重危害网络安全的代码。我们经常称它为恶意代码。它们通常需要修改注册表才能达到恶意的目的…

三、WSH应用实例

WSH可以处理脚本，如何读和写的WSH脚本源文件只要你有一点点的基础（VB的编程，呵呵）的语言基础，学习了解WSH脚本语言是一项艰巨的任务。去C：windowssampleswsh目录看看它。它提供了几个经典的脚本实例，并提供了VBｓｃｒｉｐｔ和Javaｓｃｒｉｐｔ两个版本分别。如果我们打开记事本，仔细研究，不难了解一些基本的WSH的应用。

你只需要输入代码在每个实例中的记事本，并保存为相应的*. vbs文件，双击这个文件，你可以看到相应的效果。

个效应：弹出对话框窗口，WSH。

名。回波（欢迎学习WSH）

两个案例效果：在d的根目录中构建二十个新文件夹。

昏暗的objdir

集objdir = wｓｃｒｉｐｔ.createobject（脚本。FileSystemObject ）

对于k = 1到20

snewfolder =D：wshsampleK的新文件夹的名称

Objdir . Createfolder（snewfolder）

下一个

三例的效果：创建一个文本文件testfile.txt C：使用Windows脚本宿主

text.vbs这是该文件的文件名

集regwsh = wｓｃｒｉｐｔ.createobject（wｓｃｒｉｐｔ。壳）

regwsh。运行（记事本名。ｓｃｒｉｐｔfullname）

它用shell对象启动程序

设置FS = wｓｃｒｉｐｔ.createobject（脚本。FileSystemObject ）

设置= fs.createtextfile（C：测试文件.txt

a.writeline（这只是一个测试。请检查C：你的机器有一个testfile.txt文件。）

A.关闭

这很简单，不是吗哦，是的，只要你有一点编程基础，在上面的例子中很容易读懂代码，你也可以尝试编译一些类似的脚本实例。

然而，由于脚本编程的门槛低，容易上手，给我们的生活带来了方便和效率，但也为少数罪犯提供了机会。常见的恶意软件有什么特点最基本的方法是访问系统注册表。如何使用脚本访问注册表{未完成} { iduba_page }四、VBｓｃｒｉｐｔ脚本访问注册表

可以编写脚本或VBｓｃｒｉｐｔ或Javaｓｃｒｉｐｔ，VBｓｃｒｉｐｔ语言更接近于VB，相信会有更多的朋友开始从基本的语言学习编程，所以本文不想介绍Javaｓｃｒｉｐｔ和VBｓｃｒｉｐｔ，着重介绍。用VBｓｃｒｉｐｔ WSH程序文件的扩展名是。vbs，这是解释执行的wｓｃｒｉｐｔ.exe文件下图形界面。一般来说，double-click.vbs文件可以由系统自动调用解释和执行wｓｃｒｉｐｔ.exe.in字符界面（DOS模式），它是由cｓｃｒｉｐｔ.exe文件解释和命令格式为：Cｓｃｒｉｐｔ filename.vbs.first，看一看几个相关的操作方法：

1。创建对象

用VBｓｃｒｉｐｔ访问注册表，首先要创建能够与操作系统通信的一个对象，然后使用对象的各种方式来操作注册表，创建对象的方法和格式如下：

设置对象变量名称= wｓｃｒｉｐｔ.createobject（wｓｃｒｉｐｔ。壳）

例如，设置regwsh = wｓｃｒｉｐｔ.createobject（wｓｃｒｉｐｔ。壳）可以创建一个对象命名regwsh。

2。对象的常用方法

有了上述目标，有必要采用几种重要的方法来实现注册表的访问，常用的方法是：

读取注册表的键值的操作regread

格式：object.regread（路径参数）

创建/修改注册表键值的操作regwrite

格式：regwrite路径参数值的值类型，{，}

描述：当操作路径参数不存在时，创建主键或键值；反之，修改原始键值。

删除注册表的键值的操作regdelete

格式：regdelete路径参数

三.路径参数的描述

路径参数表示操作的对象，它由三个部分组成：根密钥、主密钥路径和键值，方法如下所示：

该根键

根键有两种表示形式：缩写形式（简称）和完整形式（long），对应关系如下：

短的长的

hkey_current_user HKCU

hkey_local_machine HKLM

hkey_classes_root PRJ0050

没有缩写为hkey_users和hkey_current_config两根键。

关键路径

关键路径是注册表中的目标关键的关键位置，与主密钥由符号隔开。例如，softwaremicrosoftwindowscurrentversionpolicies

关键值

关键参数参数可以省略。在这种情况下，整个路径参数以结尾。此时，所有操作只对整个主键进行，而不是主键的键值。如果您想在主键下操作键值，您应该在主键路径之后直接包含该部分。

例如，一个完整的路径参数如下：hkcrsoftwaremicrosoftwindowscurrentversionpoliciesnorun{ } { }不结束iduba_page 4，应用实例。

其中一个应用程序。

下面是一个脚本示例，它创建、读取、显示、修改和删除注册表项。建议你打开这个脚本的源代码有一个窗口在运行程序之前，在另一个窗口打开注册表编辑器，找到hkey_current_user根键。之后的每一个提示，不要急于点击确定，切换到注册表编辑器窗口，按下刷新注册表相关键值，并观察程序的执行和对注册表的变化之间的关系。最后，切换到提示窗口，按确定继续执行程序。这样，相信每个人都能够立即了解和学习如何使用这些方法，源代码如下：

这是demo.vbs脚本程序文件名

昏暗的regwsh，sreadkey，sprompt，sfixprompt

sfixprompt = CHR（13）CHR（10）quot；是它与所写内容一致吗（-）：-）

MsgBox此脚本显示了如何创建，读取，修改，删除注册表项。

集regwsh = wｓｃｒｉｐｔ.createobject（wｓｃｒｉｐｔ。壳）

窗口创建项目hkcumyregkey，和值的主键值。

regwsh.regwritehkcumyregkey

sreadkey = regwsh.regread（hkcumyregkey ）

sprompt =（默认）的核心价值是：sreadkeyquot sfixprompt；

MsgBox读下hkcumyregkeysprompt

窗口创建项目hkcumyregkeyentry，和数量的子项的两。

regwsh.regwritehkcumyregkeyentry

sreadkey = regwsh.regread（hkcumyregkeyentry ）

sprompt =（默认）的核心价值是：sreadkeyquot sfixprompt；

MsgBox读下hkcumyregkeyentrysprompt

MsgBox修改hkcumyregkeyentry（默认）核心价值为：改进的两级子项。

regwsh.regwritehkcumyregkeyentry

sreadkey = regwsh.regread（hkcumyregkeyentry ）

sprompt = （默认）密钥已被修改为：sreadkeyquot '；' sfixprompt

MsgBox读下hkcumyregkeyentrysprompt

MsgBox的字符型的值设置项目hkcumyregkeyvalue（reg_sz），其值为1。

regwsh.regwritehkcumyregkeyvalue

MsgBox是双字节集数hkcumyregkeyentry（reg_dword），和值为2。

regwsh.regwritehkcumyregkeyentry

MsgBox集数字项hkcumyregkeyentryvalue1二进制类型（reg_binary），数值是3 regwsh.regwrite hkcumyregkeyentryvalue1

regwsh.regdeletehkcumyregkeyentryvalue1

MsgBox下面将删除hkcumyregkeyentry主键

regwsh.regdeletehkcumyregkeyentry

MsgBox下面将删除hkcumyregkey主键

regwsh.regdeletehkcumyregkey

正如你可以看到从上面的例子中，它也很容易通过脚本访问注册表。当然，我们也可以把写在网页文件VBｓｃｒｉｐｔ脚本代码（HTML文件）。此时，没有必要对代码进行任何更改。它只需要之前和之后的VBｓｃｒｉｐｔ代码添加。让我们看一个例子。

两毒分析法的应用

点击这里查看一个带有恶意网页的演示。如果网页上有错误，请下载到本地运行。

{在使用上述应用程序的网页分析示例中请务必提前做好注册表的备份工作。！如果有任何异常情况，请使用recover.htm在后尽快恢复！！！

与以前的知识，我们已经知道，调用的脚本语言来访问一个网页的注册表是一件很容易的事。但如果注册登记的核心价值是蓄意的，它被故意修改…哈哈 u3002the安全系统受到严重挑战。