反黑卫士教你认识VBS病毒躲避杀毒软件的常用伎俩
- 时间:2015年04月02日 15:12:02 来源:魔法猪系统重装大师官网 人气:6685
VBS脚本(visual basic scripting edition)的简写,它以Wsh(windows脚本宿主)为依托。借助windows提供的强大功能,成为计算机应用中强有力的工具。但是很多人利用它的强大功能编写破坏性代码构造恶意程序。对VBS脚本病毒的防治必须建立在对它了解的基础上。现在介绍本人对VBS病毒自我保护机制的认识给大家分享。以便更多的人能自己动手处理vbs病毒。
1、改变对象的声明方式
譬如fso=createobject("scripting.filesystemobject"),我们将其改变为
fso=createobject("script"+"ing.filesyste"+"mobject"),这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。
2、利用Execute函数
巧妙运用Execute方法可以有效防治杀毒软件查杀。很多杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些
反病毒软件。
3、代码动态变化
下面引用一个网上代码变化引擎的例子说明
Randomize
Set Of = CreateObject("Scripting.FileSystemObject")
’创建文件系统对象
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
’读取自身代码
fS=Array("Of", "vC", "fS", "fSC")
’定义一个即将被替换字符的数组
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)))
’取4个随机字符替换数组fS中的字符串
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC
’将替换后的代码写回文件
以上就是VBS脚本躲避杀软的主要手段
反黑,卫士,教你,认识,VBS,病毒,躲避,杀毒软件,
1、改变对象的声明方式
譬如fso=createobject("scripting.filesystemobject"),我们将其改变为
fso=createobject("script"+"ing.filesyste"+"mobject"),这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。
2、利用Execute函数
巧妙运用Execute方法可以有效防治杀毒软件查杀。很多杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些
反病毒软件。
3、代码动态变化
下面引用一个网上代码变化引擎的例子说明
Randomize
Set Of = CreateObject("Scripting.FileSystemObject")
’创建文件系统对象
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
’读取自身代码
fS=Array("Of", "vC", "fS", "fSC")
’定义一个即将被替换字符的数组
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)))
’取4个随机字符替换数组fS中的字符串
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC
’将替换后的代码写回文件
以上就是VBS脚本躲避杀软的主要手段