2010年07月 存档

« 较老的文章
较新的文章 »

用VBS读写二进制文件的另一种方法

2010年07月26日,星期一

之前写的那篇给出的方法虽然不错,但是当文件过大时(其实很小,也就几M),对应的数组也会很大,然后会出现运行时错误,提示内存耗尽,为此我郁闷了好久。

最近在博客的流量记录中发现百度关键字“一些很恶作剧的vbs程序”(看来现在的年轻人很喜欢玩这口),于是打开久违的百度搜索了一下,发现出现在第三。出现在第二的是百度HI,上面也是一个恶作剧程序,而且还是加密的。我尝试着解密,却发现这个加密似乎比前几天解密的那个病毒更变态,未果。

虽然我没有把那个程序解密出来(如果哪位真正的高手会,麻烦指点一下),但是从中领悟出了用VBS读写二进制文件的另一种方法,即Microsoft.XMLDOM+ADODB.Stream。这个方法的效率比原来那个高得多,而且似乎没有文件大小限制。

Function ReadBinary(FileName)
	Const adTypeBinary = 1
	Dim stream, xmldom, node
	Set xmldom = CreateObject("Microsoft.XMLDOM")
	Set node = xmldom.CreateElement("binary")
	node.DataType = "bin.hex"
	Set stream = CreateObject("ADODB.Stream")
	stream.Type = adTypeBinary
	stream.Open
	stream.LoadFromFile FileName
	node.NodeTypedValue = stream.Read
	stream.Close
	Set stream = Nothing
	ReadBinary = node.Text
	Set node = Nothing
	Set xmldom = Nothing
End Function

函数的参数是要读取的文件路径,返回值是包含二进制文件的十六进制值的字符串。

Sub WriteBinary(FileName, Buf)
	Const adTypeBinary = 1
	Const adSaveCreateOverWrite = 2
	Dim stream, xmldom, node
	Set xmldom = CreateObject("Microsoft.XMLDOM")
	Set node = xmldom.CreateElement("binary")
	node.DataType = "bin.hex"
	node.Text = Buf
	Set stream = CreateObject("ADODB.Stream")
	stream.Type = adTypeBinary
	stream.Open
	stream.write node.NodeTypedValue
	stream.saveToFile FileName, adSaveCreateOverWrite
	stream.Close
	Set stream = Nothing
	Set node = Nothing
	Set xmldom = Nothing
End Sub

第一个参数是要读入的文件路径,第二个参数是包含二进制文件的十六进制值的字符串。至于如何获得二进制文件的十六进制值,那方法就很多了,最简单的方法当然就是用fso对象将ReadBinary函数的返回值写到文本文件中去,然后Ctrl+C,Ctrl+V。其实用十六进制工具也很简单。

其他的就不多说了,看不懂的多看看MSDN参考文档。写了一个示例程序,里面包含了天空之城音乐的所有数据,双击后在同一文件夹生成天空之城的MP3文件并播放。

[download id=29]

标签:, , , ,
发布在 程序设计 | 32 条评论 »

实现简单的VBS加密

2010年07月24日,星期六

昨天那个病毒的加密确实很恐怖,我不是高手,写不出那么高级的加密。但是受病毒第一层加密的启发,进行简单的加密还是不难的。当然这种低级的加密只能拿来骗骗一些垃圾的杀毒软件。使用了msxml2.xmlhttp和adodb.stream对象的VBS脚本很容易被杀毒软件认为是病毒,不明真相的同学一看报毒自然就不敢运行了。简单加密以后应该可以绕过比较垃圾的杀毒软件。

下面是加密程序,原理很低级,读取源文件的所有代码并计算Asc值后写入,Execute用Chr还原后的代码。

On Error Resume Next
Set argv = WScript.Arguments
If argv.Count = 0 Then WScript.Quit
Set fso = CreateObject("scripting.filesystemobject")
With fso.OpenTextFile(argv(0),1)
    data = .ReadAll
    .Close
End With
With fso.OpenTextFile(argv(0) & ".txt",2,True)
    .WriteLine "data=" & Chr(34) & ASCdata(data) & Chr(34)
    .WriteLine "Function ChrData(Data)"
    .WriteLine "MyArray = Split(Data, "","", -1, 1)"
    .WriteLine "For each OldData in MyArray"
    .WriteLine "Newdata=NewData" & Chr(38) & "chr(OldData)"
    .WriteLine "Next"
    .WriteLine "ChrData=NewData"
    .WriteLine "End Function"
    .WriteLine "execute Chrdata(data)"
    .Close
End With
MsgBox "OK!",,"Encrypt"
Function ASCdata(Data)
    num = Len(data)
    newdata = ""
    For j = 1 To num
        If j = num Then
            newdata = newdata & Asc(Mid(data,j,1))
        Else
            newdata = newdata & Asc(Mid(data,j,1)) & ","
        End If
    Next
    ASCdata = newdata
End Function

使用方法:直接将需要加密的VBS脚本拖动到这个加密程序文件上,会自动生成加密后脚本的txt文件。

标签:, ,
发布在 程序设计 | 4 条评论 »

又一个VBS病毒源码的解密

2010年07月23日,星期五

解密暴风一号病毒的时候,曾经搜索到看雪的一个帖子,楼主说的也是暴风一号的解密。但是下面有人回了一个

对于病毒来说这个代码写得很啰嗦,没什么功能,连后台都没有,发布出去就是个死马
该让别人看不懂的地方一点也没有处理 鉴定完毕
你兴趣把这个解出来http://www.cn-dos.net/forum/viewthread.php?tid=39994&fpage=1&highlight=vbs
带后台的,支持远程后台控制VBS更新  支持后台命令让VBS操作你所实现的命令 比如:根据判断进程来下载木马。
这个VBS加了好几层密,全是手动加密 最后一层有点小难度,解完后的原码,你根本看不懂,不花点时间做点笔记根本不知道是什么意思

当时点进去看了一下,尝试着解密了一下,发现没有想象中的简单,就不管了。最近闲得慌,又拿出来看了一下,这次终于解密出来了。这个VBS病毒十分的强大,嵌套了好几层的Execute语句,即使最后解密出来的明文都很难看得懂,暴风一号和它比起来真的是小巫见大巫了。写病毒的人绝对是VBS高手中的高手,解密完这个病毒,我再也不敢说我会VBS了。

下面是解密过程,源代码和中间代码下载地址在文章末尾给出,请先下载再往下看。解密的主要思路是把Execute语句用下列代码替换

Dim fso, file
Set fso = CreateObject("scripting.filesystemobject")
Set file = fso.OpenTextFile("filename.vbs",2,True)
file.Write code
file.Close

其中filename为文件名,code为要Execute的代码。

(更多…)

标签:, , ,
发布在 程序设计 | 11 条评论 »

VBS加密 & VBE解密

2010年07月22日,星期四

用Script Encoder加密VBS脚本

Script Encoder 是一个简单的命令行工具,脚本设计者可使用此工具对他们的最终脚本进行编码,从而使 Web 主机和 Web 客户端无法查看或更改其源代码。注意,这种编码只能防止对您代码的一般性浏览,而无法防止专业黑客查看您的代码和实现方式。

这其实并不是加密(encrypt)而仅仅是编码(encode),只不过乍一看是乱码,好像被加密过一样。使用方法很简单,安装目录有帮助手册,上面写得很清楚,在这里举一个最简单的用法,使用下面的命令加密example.vbs脚本

screnc.exe  example.vbs  example.vbe

用Script Decoder解密VBE脚本

VBS是解释型语言,所以加密后的VBE肯定能够被Windows脚本宿主解释程序解密然后再解释执行。但是微软并没有提供解密程序或者解密算法,一位牛人通过自己的测试推出了解密的算法,并写了一个Script Decoder程序,还把源代码公布出来。我编译了一个测试了一下,效果不错。使用下面的命令解密example.vbe脚本

scrdec18.exe  example.vbe  example.vbs

相比之下,这个网站也有一个解密程序,但是竟然要收费!否则只能解密VBE的前50个字节。最近在学习破解,正好拿来练练手,保护工作做得不怎么样,很轻松就爆破了,而且解密的效果也不怎么样,难道是我的爆破有问题?不管那么多了,有开源的Script Decoder就行了。

另外还有在线解密的网站,对英文的解密效果还不错,但是对于有Unicode字符的代码效果就不怎么样了。

标签:, , , ,
发布在 程序设计 | 4 条评论 »

Windows 7在桌面创建宽带连接快捷方式

2010年07月20日,星期二

早上起来开电脑,发现系统被换成XP了

装系统的人真不专业,装得乱七八糟的

这我还可以忍受,但我不能忍受他装了360流氓软件

果断重装Windows 7,家里的电脑竟然不支持U盘启动

身边又没有光盘,无奈尝试着在XP下直接安装

就是直接在XP系统中解压Windows 7光盘镜像后点setup.exe

装好后发现安装是可以安装,但是无法格式化原来的XP系统分区

一气之下进入Windows PE把原来XP系统的分区删掉

结果就开不了机了,汗

结论就是直接在系统中装系统的话两个系统会有关联

最后使用了买电脑时送的Vista安装盘才把Windows 7装好

弄了一个早上,累死我了

Windows 7直接在右下角的网络连接就可以连接宽带的

为什么还要创建宽带连接快捷方式呢,因为我爸不会用

上面的都跑题了,下面为方法,mark一下

1、点击Windows 7 右下角的“网络连接”;

2、点击“打开网络和共享中心”;

3、点击 “更改适配器设置”;

4、右键“宽带连接”创建快捷方式;

5、确定为“桌面快捷键方式”。

标签:, ,
发布在 操作系统 | 没有评论 »

« 较老的文章
较新的文章 »