计算机病毒课程实验:脚本病毒

计算机病毒课程实验:脚本病毒

1.首先在win10虚拟机中测试感染文件脚本病毒:

更改源码适应使用环境

image-20210228172401771

这里将目标文件改成了桌面上的一个1.txt文件,并且阅读源码知道它是将当前文档的代码写入1.txt文件之后,然后利用1.txt文件创建另一个病毒文件的副本,这里使用的方法是copy即复制1.txt文件内容到指定路径文件,这里的路径是在1.txt后面加上了.vbs后缀,那么会生成一个1.txt.vbs的文件然后会删除1.txt文件,这是病毒的整个行为,那么开始实际操作。

首先创建1.txt

image-20210228172411618

然后运行病毒:

image-20210228172423185

和预期想到的一样,删除了1.txt文件生成了1.txt.vbs文件,然后查看里面的源码

image-20210228172432680

是病毒文件的复制,实验结果和代码意思完全相同,实验成功。

2.测试搜索目标文件的脚本代码:同样更改脚本路径到桌面,适应运行环境

image-20210228172446246

代码的意思呢是定义一个指定路径,然后定义一个函数,根据传入的路径来扫描路径下的exe文件,如果扫描到了,那么会显示输出这个exe文件的路径信息,并且支持文件夹的递归调用函数。那么在桌面创建一个1.exe然后建立文件夹里面创建2.exe测试脚本运行结果

image-20210228172457210

运行脚本:

imgimg

成功的显示了当前目录的1.exe文件信息和文件夹下的2.exe文件信息,说明扫描和递归扫描都成功进行,代码运行正常,实验成功。

3.自变换脚本的测试

查看源码:

image-20210228172537594

发现程序是通过随机数生成函数rnd,来生成随机字符,然后通过循环并且运用replace函数来替换整个代码文本里的在数组中出现过的字符串,脚本是先将自己的代码文本读取到字符串里,然后根据数组里定义的QQBM,KFKQ,NDGS,NDGSC,会将自己文本里出现过的这四个字符串,替换成随机的四个字符的字符串,方法就是通过for循环来替换四次,最后替换完成之后,通过只写的方式,将新生成的代码写回文件,实现了代码的自变换,运行一次结果:

image-20210228172548814

发现之前出现QQBM,KFKQ,NDGS,NDGSC这四个字符串的位置,都被替换成了新的随机字符串,相当于把整个代码看成了字符串,对这个整体代码字符串进行了相应的字节随机替换,实验成功。


本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!