Como no he recibido el código fuente de ASP antes, no me atrevo a analizar la razón por la que puedo descargar el archivo ejecutable de forma remota al área local sin permiso. Recientemente escuché que el Firewall de Virus provocará virus al ver una página web. Ahora analicemos los virus HTML.
Después de un pequeño aspecto, descubrí que hay un marco flotante implícito en las siguientes líneas del código de página de inicio. La URL a la que se refería no era local, parecía que debería ser, así que usé Flashget nuevamente y bajé. De hecho, descubrí que el espacio donde se colocó el virus no admite ASP, y el archivo ASP que descargué es el archivo fuente. Después de que llegó este interés, descargué todos los documentos relevantes del virus a través de algunos pasos.
Como este virus es muy simple, solo copié algunos clips. Si está realmente interesado, es posible que no tenga cuidado de encontrar una página web con un virus. Sin embargo, no use IE para leerlo. Debe usar Flashget y otras herramientas de descarga para descargarlo, y luego abrirlo con BlocePad. De lo contrario, si eres golpeado, no vengas a mí. Ok, comenzará el texto principal.
Hay tres archivos para virus reales, uno es el archivo de arranque, uno es el archivo de descarga y el tercero es el archivo de activación.
El primer archivo de arranque
La parte clave es:
Esta función es consultar y ejecutar la descarga y activación de dos archivos como objetos de la página. Este es también un punto clave para que los archivos de virus se infecten localmente. En el archivo referenciado, en realidad puede hacer referencia al componente de acción del cliente sin ningún obstáculo. Oh, este es ese cuchillo.
El segundo es descargar el archivo de virus exe
Luego, cómo descargar el EXE sin aparecer en el cuadro de información de descarga. Esta es una tarea para recopilar y descargar archivos.
El método de este virus es usar el componente y respuesta de Microsoft.xmlhttp.
El tercero es la activación
Siento que el proceso de activación es muy inteligente. El virus primero usa FSO para generar un archivo HTA en c:/ y escribe el proceso de activación en este archivo. Luego use wscript.shell para ejecutar este archivo. De esta manera, no hay ningún problema con las operaciones que requieren grandes permisos durante el proceso de activación (como las operaciones de registro de escritura).
El proceso de operación específico es como este. Mueva el archivo de virus en el directorio de caché web al directorio de archivos del sistema y cámbielo a win.exe. Escriba la clave de auto-inicio en el registro para que el virus pueda comenzar automáticamente después de que se reinicie el sistema, y luego elimine el archivo HTA para completar la infección y la activación.
Este es el proceso de operación básico del virus (no mencionaré la parte de destrucción del virus según la Convención), pero ¿de qué sirve esto para nosotros? De hecho, odio mucho este virus, pero todavía hay algunos disponibles para la descarga y los procesos de activación. Por ejemplo: el sistema en el que está trabajando debe descargar algunos componentes y activarlo antes de que pueda usarse. Por supuesto, este tipo de operación no es un problema para aquellos que lo entienden, pero si se enfrenta a un usuario que no ha descubierto nada en la red, supongo que el sistema explotará antes de que comience a usar su teléfono. Si toma prestado este método y descarga automáticamente los componentes y los activa automáticamente cuando la otra parte les permita, le ahorrará muchos más problemas, ¿verdad?
Sin embargo, este método es muy conveniente para archivos de forma pequeña. Si desea descargar archivos por encima de 1m ... debe considerar la descarga de múltiples subprocesos. Por supuesto, este no es el alcance de este artículo. Hablaré sobre cómo usar ASP+XML para implementar la carga múltiple web y la descarga de múltiples subprocesos en el futuro.
Lo anterior es todo el contenido de este artículo. Espero que el contenido de este artículo sea de ayuda para su estudio o trabajo. Si tiene alguna pregunta, puede dejar un mensaje para comunicarse. ¡Gracias por su apoyo del nuevo canal de tecnología bien o incorrecto!