◎VBS编程打造自己的病毒专杀工具
VBS病毒应该来说还是挺流行的,其力量不可小觑啊!用VBS写一只普通病毒(蠕虫)没有什么难度,写病毒专杀工具也是没什么难度的。但在写出专杀工具前必须了解你要杀的这只病毒的一些信息……比如:病毒释放的文件,感染的文件,注册表与进程里的病毒信息等等。
一、首先来看如何结束病毒进程,之前我在《两个简易VBS脚本结束进程与防止进程启动》给出了关于进程的一些操作方法。假如要结束的病毒进程为rund1132.exe(32之前是两个数字1),看下面代码:
set w=getobject("winmgmts:")??'创建WMI对象,执行后面的查询。
set p=w.execquery("select * from win32_process where name='rund1132.exe'")
for each i in p
i.terminate
next
二、双击执行这段代码就可以结束rund1132.exe进程,这为后面的杀毒提供方便。病毒进程一被结束就要马上将其文件给删掉!假如病毒相关文件为c:/windows/rund1132.exe与c:/windows/system32/explorer.exe,它们皆为隐藏文件。看下面代码:
set fso=createobject("scripting.filesystemobject") '创建fso对象,此对象以后介绍……
set v1=fso.getfile("c:/windows/rund1132.exe")
set v2=fso.getfile("c:/windows/system32/explorer.exe")
v1.attributes=0 '设置文件为正常属性值,即隐藏文件就被还原成正常文件了!
v2.attributes=0 '当病毒文件多时,可以使用for语句。
fso.deletefile("c:/windows/rund1132.exe")
fso.deletefile("c:/windows/system32/explorer.exe")
执行这段代码,病毒文件就被Killed了……删除病毒的感染文件也是创建fso对象,然后进行盘符、文件夹、文件遍历查找,使用ext=lcase(fso.GetExtensionName(file)
)这样的表达式来获取所有文件的后缀,最后将ext值与被已知感染文件的后缀(比如.exe)进行判断,如果为真则删除此此文件……思路给出了,代码有点长有点复杂就不黏贴上来了。其实如果有可能去分析“爱虫VBS病毒”的代码,就会发现它在感染文件时使用的正是这样的遍历、后缀判别的方法……
三、注册表是关键。有些病毒是很变态的,将系统的许多功能都给禁用了,还往注册表里塞一大堆垃圾信息……它要是把WSH(windows脚本宿主)给禁用了或破坏了那我们辛辛苦苦写的VBS专杀工具就没法使用了,我感觉VBS写出来的专杀是有一定的局限性的……不过对付不这么变态的病毒还是可以的!
比如:此病毒禁用了“任务管理器”、然后在注册表中添加下面的值来实现开机自启动"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/run","c:/windows/rund1132.exe"。如何修复?看下面代码:
set reg=wscript.createobject("wscript.shell") '创建wscript对象,进行下面的注册表操作!
'reg.regwrite恢复禁用的任务管理器
reg.regwrite
"HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableTaskMgr",0,"REG_DWORD"
'reg,regdelete删除病毒的自启动项
reg.regdelete
"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/run"
到此用 VBS 打造自己的病毒专杀工具就有成形了,框架就是这样。根据不同的病毒特征写出不同的专杀工具。
◎VBS编程打造自己的病毒专杀工具相关推荐
- VBS编程打造自己的病毒专杀工具
VBS病毒应该来说还是挺流行的,其力量不可小觑啊!用VBS写一只普通病毒(蠕虫)没有什么难度,写病毒专杀工具也是没什么难度的.但在写出专杀工具前必须了解你要杀的这只病毒的一些信息--比如:病毒释放的文 ...
- html.win32.scipt病毒,用vbs实现的一款Worm.Win32.VB.fw病毒专杀工具
在写了<Worm.Win32.VB.fw分析与清除方案>后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇&l ...
- Auto病毒专杀工具常见问题
Auto病毒专杀工具常见问题 Auto病毒专杀工具常见问题 为什么格式化U盘之后还是有毒? 因为你的电脑已经中毒,即使格式化U盘,病毒也会自动在U盘内生成病毒.可以使用Auto病毒专杀查杀内存中的病毒 ...
- OSO.EXE病毒专杀工具
oso.exe是一个典型的U盘病毒,典型特征就是在硬盘的每个盘下面生成autorun.inf和oso.exe文件,并在硬盘右键出现AUTO,并在系统盘下生成可执行文件 c:/windows/syste ...
- 自己动手写个病毒专杀工具
下方查看历史精选文章 重磅发布 - 自动化框架基础指南pdf 大数据测试过程.策略及挑战 测试框架原理,构建成功的基石 在自动化测试工作之前,你应该知道的10条建议 在自动化测试中,重要的不是工具 此 ...
- 杀毒我做主:病毒专杀工具自己编写
如今病毒木马层出不穷,变种也是一个接一个.反病毒公司以及各大安全公司随着影响很大的病毒的出现都会免费提供病毒专杀工具,这个举措对普通用户来 说确实很有帮助.其实写病毒专杀工具也不像大家想象的那么神秘, ...
- rundl132.exe,logo1_.exe 病毒专杀工具
重要提示:本人测试无效(测试时间:20061115) 最后做法:系统重新安装.再用瑞星杀毒工具 rundl132.exe,logo1_.exe 病毒专杀工具 中毒了,中毒了!rundll.exe ru ...
- Anti Arp Sniffer ARP病毒专杀工具
Anti Arp Sniffer ARP病毒专杀工具 Anti Arp Sniffer ARP病毒专杀工具 下载地址:http://www.ixpub.net/attachment.php?aid=4 ...
- ARP病毒专杀工具免费下载
ARP病毒专杀工具免费下载 ARP病毒专杀工具免费下载 近期有某种arp病毒在校园网里传播,感染该病毒后,会影响整个网段(宿舍区整单元.办公区整个楼层)计算机的正常上网,出现同一网段的大面积断网断线. ...
最新文章
- editor修改样式 vue_vue-quill-editor的使用及个性化定制操作
- 准备重新回归信息安全产业
- php 合并 字符串_PHP如何去重合并字符串
- cmd执行sql文件路径 oracle_oracle 基础 执行sql文件
- vue中的VNode
- java 线程类注入失败_如何在多线程中注入bean?!
- python转换函数使用_Python基础学习之时间转换函数用法详解
- 黑苹果efi引导文件大全_经历了无数次失败以后,我终于“吃”上了黑苹果,经验分享...
- 计算机背景图片保存在哪里,Win10桌面背景图片保存在哪个文件夹
- gitgub代码汇总
- 速率法和终点法的区别_两点法终点法速率法.doc
- SVN问号图标清除方法
- vue element上传额外参数
- 用容斥原理计算具有有限重数的多重集合的 r-组合(附代码)
- 怎么关闭excel出现的microsoft office 自定义安装程序提示
- PMP 考试一定要报培训班吗?
- 3-感知机的局限性与多层感知机
- 卖锁小老板的创业之路,如何从入不敷出到月入30万的方案分享
- CC2640使用snv保存信息
- NXP给LVGL出组态软件啦!!撒花!Gui-Guider使用