Ich wollte diesen Artikel schon immer schreiben, aber als ich bei der Arbeit war, sagte ich, ich würde zur Arbeit gehen, aber ich habe ihn nicht geschrieben. Nachdem ich nach Hause gekommen war, war ich damit beschäftigt, Spiele zu spielen und es beiseite zu werfen. Jetzt muss ich anfangen zu schreiben, ohne meinen Job zu machen, in der Hoffnung, dass mein Chef meinen Blog nicht kennt. Haha, ich war vor langer Zeit sehr an HTML -Viren interessiert. Ich war gespannt, wie man ausführbare Dateien ohne Erlaubnis aus der Ferne herunterladen kann. Ich hatte einfach keine Chance, den ursprünglichen ASP -Code zu erhalten, also wagte ich es, eine Analyse aus dem Kontext zu machen. Kürzlich hörte ich einen Freund sagen, dass die Virus -Firewall beim Lesen einer Webseite dazu veranlasste, dass es ein Virus gab, und mich bat, vorsichtig zu sein (danke zuerst). Ich hatte einen Gedankenblitz und öffnete Flashget und lud die Homepage des Virus herunter. Nach einem kleinen Blick stellte ich fest, dass es in den folgenden Zeilen des Homepagescode einen impliziten schwimmenden Rahmen gibt. Die URL, auf die sie verwiesen wurde, war nicht lokal, es fühlte sich so an, als ob es sein sollte, also habe ich wieder Flashget benutzt und ging runter. Ich habe tatsächlich festgestellt, dass der Raum, in dem das Virus platziert wurde, ASP nicht unterstützt, und die ASP -Datei, die ich heruntergeladen habe, ist die Quelldatei. Nach diesem Interesse habe ich alle relevanten Dokumente des Virus durch ein paar Schritte heruntergeladen. Da dieses Virus sehr einfach ist, habe ich nur einige Clips kopiert. Wenn Sie wirklich interessiert sind, achten Sie möglicherweise nicht darauf, eine Webseite mit einem Virus zu finden. Verwenden Sie jedoch keinen IE, um es zu lesen. Sie sollten FlashGet- und andere Download -Tools zum Herunterladen verwenden und dann mit Notepad öffnen. Ansonsten, wenn Sie getroffen werden, kommen Sie nicht zu mir. OK, der Haupttext beginnt. Es gibt drei Dateien für echte Viren, eine ist die Startdatei, eine ist die Download -Datei und die dritte ist die Aktivierungsdatei. Der wichtigste Teil der ersten Startdatei lautet: Diese Funktion besteht darin, den Download und die Aktivierung von zwei Dateien als Objekte der Seite zu verweisen und auszuführen. Dies ist auch der Schlüsselpunkt, an dem die Virusdatei lokal infiziert werden kann. In der referenzierten Datei kann es tatsächlich auf die Aktionskomponente des Clients ohne Hindernisse verweisen. Oh, das ist das Messer. Die zweite besteht darin, die EXE -Virus -Datei herunterzuladen und dann das EXE herunterzuladen, ohne das Download -Eingabeaufforderungsfeld aufzuheben. Dies ist eine Aufgabe, Dateien zu sammeln und herunterzuladen. Die Methode dieses Virus besteht darin, die Komponente und Reaktion von microsoft.xmlhttp zu verwenden. Der dritte ist, dass der Prozess der Aktivierung der sensorischen Aktivierung sehr clever ist. Das Virus verwendet FSO zunächst, um eine HTA -Datei unter C:/zu generieren, und schreibt den Aktivierungsprozess in diese Datei. Verwenden Sie dann wscript.shell, um diese Datei auszuführen. Auf diese Weise gibt es kein Problem mit den Operationen, die während des Aktivierungsprozesses große Berechtigungen erfordern (z. B. Schreibregistriervorgänge). Der spezifische Betriebsprozess ist so. Verschieben Sie die Virusdatei im Web -Cache -Verzeichnis in das Systemdateiverzeichnis und ändern Sie sie auf win.exe. Schreiben Sie den Self-Start-Schlüssel in die Registrierung, damit das Virus automatisch nach dem Neustart des Systems beginnen kann, und löschen Sie die HTA-Datei, um die Infektion und Aktivierung abzuschließen. Dies ist der grundlegende Betriebsprozess des Virus (ich werde den Virus -Zerstörungsteil nach Konvention nicht erwähnen), aber wie hält dies für uns? Tatsächlich hasse ich dieses Virus sehr, aber es stehen noch einige zum Herunterladen und Aktivierungsprozessen zur Verfügung. Zum Beispiel: Das System, an dem Sie arbeiten, muss einige Komponenten herunterladen und aktivieren, bevor es verwendet werden kann. Diese Art von Operation ist natürlich kein Problem für diejenigen, die sie verstehen, aber wenn Sie einem Benutzer gegenüberstehen, der im Netzwerk nichts herausgefunden hat, wird das System vermuten, bevor es Ihr Telefon verwendet. Wenn Sie diese Methode ausleihen und die Komponenten automatisch herunterladen und automatisch aktivieren, wenn die andere Partei sie zulässt, sparen Sie viel mehr Probleme, oder? Diese Methode ist jedoch sehr bequem für kleinförmige Dateien. Wenn Sie Dateien über 1 m herunterladen möchten, müssen Sie das Herunterladen von Multi-Threaded in Betracht ziehen. Dies ist natürlich nicht der Umfang dieses Artikels. Ich werde darüber sprechen, wie Sie ASP+XML verwenden, um in Zukunft Web-Multi-Thread-Upload und Multi-Thread-Download zu implementieren.