Siempre quise escribir este artículo, pero cuando estaba en el trabajo, dije que iría a trabajar, pero no lo escribí. Después de llegar a casa, estaba ocupado jugando y lo arrojé a un lado. Ahora tengo que comenzar a escribir sin hacer mi trabajo, esperando que mi jefe no conozca mi blog. Jaja, estaba muy interesado en los virus HTML hace mucho tiempo. Tenía curiosidad sobre cómo descargar de forma remota archivos ejecutables al área local sin permiso. Simplemente no tuve la oportunidad de obtener el código original de ASP, así que me atreví a hacer cualquier análisis fuera de contexto. Recientemente, escuché a un amigo decir que cuando estaba leyendo una página web, el firewall del virus provocó que había un virus y me pidió que tuviera cuidado (agradecerle primero). Tenía un destello de pensamiento, abrí Flashget y descargué la página de inicio del virus. Después de un pequeño aspecto, descubrí que hay un marco flotante implícito en las siguientes líneas del código de página de inicio. La URL a la que se refería no era local, parecía que debería ser, así que usé Flashget nuevamente y bajé. De hecho, descubrí que el espacio donde se colocó el virus no admite ASP, y el archivo ASP que descargué es el archivo fuente. Después de que llegó este interés, descargué todos los documentos relevantes del virus a través de algunos pasos. Como este virus es muy simple, solo copié algunos clips. Si está realmente interesado, es posible que no tenga cuidado de encontrar una página web con un virus. Sin embargo, no use IE para leerlo. Debe usar Flashget y otras herramientas de descarga para descargarlo, y luego abrirlo con BlocePad. De lo contrario, si eres golpeado, no vengas a mí. Ok, comenzará el texto principal. Hay tres archivos para virus reales, uno es el archivo de arranque, uno es el archivo de descarga y el tercero es el archivo de activación. La parte clave del primer archivo de arranque es: esta función es consultar y ejecutar la descarga y activación de dos archivos como objetos de la página. Este es también el punto clave donde el archivo de virus puede infectarse localmente. En el archivo referenciado, en realidad puede hacer referencia al componente de acción del cliente sin ningún obstáculo. Oh, este es ese cuchillo. El segundo es descargar el archivo EXE Virus y luego cómo descargar el EXE sin aparecer en el cuadro de información de descarga. Esta es una tarea para recopilar y descargar archivos. El método de este virus es usar el componente y respuesta de Microsoft.xmlhttp.ContentType = Image/GIF en el lado del servidor para descargar el archivo de virus en formato de imagen al caché web del cliente (esta es una operación muy simple de Get/BinaryWrite, por lo que no entraré en detalles). El tercero es que el proceso de activación de la activación sensorial es muy inteligente. El virus primero usa FSO para generar un archivo HTA en C:/, y escribe el proceso de activación en este archivo. Luego use wscript.shell para ejecutar este archivo. De esta manera, no hay ningún problema con las operaciones que requieren grandes permisos durante el proceso de activación (como las operaciones de registro de escritura). El proceso de operación específico es como este. Mueva el archivo de virus en el directorio de caché web al directorio de archivos del sistema y cámbielo a win.exe. Escriba la clave de auto-inicio en el registro para que el virus pueda comenzar automáticamente después de que se reinicie el sistema, y luego elimine el archivo HTA para completar la infección y la activación. Este es el proceso de operación básico del virus (no mencionaré la parte de destrucción del virus según la Convención), pero ¿de qué sirve esto para nosotros? De hecho, odio mucho este virus, pero todavía hay algunos disponibles para la descarga y los procesos de activación. Por ejemplo: el sistema en el que está trabajando debe descargar algunos componentes y activarlo antes de que pueda usarse. Por supuesto, este tipo de operación no es un problema para aquellos que lo entienden, pero si se enfrenta a un usuario que no ha descubierto nada en la red, supongo que el sistema explotará antes de que comience a usar su teléfono. Si toma prestado este método y descarga automáticamente los componentes y los activa automáticamente cuando la otra parte les permita, le ahorrará muchos más problemas, ¿verdad? Sin embargo, este método es muy conveniente para archivos de forma pequeña. Si desea descargar archivos por encima de 1m ... debe considerar la descarga de múltiples subprocesos. Por supuesto, este no es el alcance de este artículo. Hablaré sobre cómo usar ASP+XML para implementar la carga múltiple web y la descarga de múltiples subprocesos en el futuro.