J'ai toujours voulu écrire cet article, mais quand j'étais au travail, j'ai dit que j'irais travailler, mais je ne l'ai pas écrit. Après mon retour à la maison, j'étais occupé à jouer à des jeux et je l'ai jeté de côté. Maintenant, je dois commencer à écrire sans faire mon travail, en espérant que mon patron ne connaîtra pas mon blog. Haha, j'étais très intéressé par les virus HTML il y a longtemps. J'étais curieux de savoir comment télécharger à distance les fichiers exécutables dans la zone locale sans autorisation. Je n'ai tout simplement pas eu la chance d'obtenir le code d'origine d'ASP, j'ai donc osé faire une analyse hors contexte. Récemment, j'ai entendu un ami dire que lorsqu'il lisait une page Web, le pare-feu de virus a invité qu'il y avait un virus et m'a demandé d'être prudent (remerciez-le d'abord). J'ai eu un éclair de pensée et j'ai ouvert Flashget et téléchargé la page d'accueil du virus. Après un petit coup d'œil, j'ai trouvé qu'il y avait un cadre flottant implicite dans les lignes suivantes du code de la page d'accueil. L'URL qu'il faisait référence n'était pas locale, il semblait que ce devrait l'être, donc j'ai utilisé à nouveau Flashget et je suis descendu. J'ai constaté que l'espace où le virus a été placé ne prend pas en charge ASP, et le fichier ASP que j'ai téléchargé est le fichier source. Une fois cet intérêt, j'ai téléchargé tous les documents pertinents du virus à travers quelques étapes. Étant donné que ce virus est très simple, je n'ai copié que quelques clips. Si vous êtes vraiment intéressé, vous ne venez peut-être pas à trouver une page Web avec un virus. Cependant, n'utilisez pas IE pour le lire. Vous devez utiliser Flashget et d'autres outils de téléchargement pour le télécharger, puis l'ouvrir avec le bloc-notes. Sinon, si vous êtes touché, ne venez pas à moi. Ok, le texte principal commencera. Il y a trois fichiers pour de vrais virus, l'un est le fichier de démarrage, l'un est le fichier de téléchargement et le troisième est le fichier d'activation. La partie clé du premier fichier de démarrage est: cette fonction consiste à se référer et à exécuter le téléchargement et l'activation de deux fichiers en tant qu'objets de la page. C'est également le point clé où le fichier virus peut être infecté localement. Dans le fichier référencé, il peut en fait référencer le composant d'action du client sans aucun obstacle. Oh, c'est ce couteau. La seconde consiste à télécharger le fichier du virus EXE, puis à télécharger l'EXE sans faire apparaître la boîte d'invite de téléchargement. Il s'agit d'une tâche pour collecter et télécharger des fichiers. La méthode de ce virus consiste à utiliser le composant Microsoft.xmlhttp et Response.ContentType = Image / GIF côté serveur pour télécharger le fichier virus au format d'image sur le cache Web du client (il s'agit d'une opération Get / Binarywrite très simple, donc je n'irai pas en détail). Le troisième est que le processus d'activation de l'activation sensorielle est très intelligent. Le virus utilise d'abord FSO pour générer un fichier HTA sous c: /, et écrit le processus d'activation dans ce fichier. Utilisez ensuite wscript.shell pour exécuter ce fichier. De cette façon, il n'y a aucun problème avec les opérations qui nécessitent d'importantes autorisations pendant le processus d'activation (telles que la rédaction des opérations de registre). Le processus de fonctionnement spécifique est comme ça. Déplacez le fichier virus dans le répertoire de cache Web vers le répertoire du fichier système et modifiez-le sur win.exe. Écrivez la clé de marche auto dans le registre afin que le virus puisse démarrer automatiquement après le redémarrage du système, puis supprimez le fichier HTA pour terminer l'infection et l'activation. Ceci est le processus de fonctionnement de base du virus (je ne mentionnerai pas la partie de destruction du virus selon la convention), mais à quoi nous servira-t-il? En fait, je déteste beaucoup ce virus, mais il y en a encore des processus de téléchargement et d'activation. Par exemple: le système sur lequel vous travaillez doit télécharger certains composants et l'activer avant de pouvoir être utilisé. Ce type d'opération n'est bien sûr pas un problème pour ceux qui le comprennent, mais si vous faites face à un utilisateur qui n'a rien compris dans le réseau, je suppose que le système explose avant qu'il ne commence à utiliser votre téléphone. Si vous empruntez cette méthode et téléchargez automatiquement les composants et les activez automatiquement lorsque l'autre partie le permet, cela vous éconorera beaucoup plus de problèmes, non? Cependant, cette méthode est très pratique pour les fichiers de petite taille. Si vous souhaitez télécharger des fichiers supérieurs à 1 m ... vous devez envisager le téléchargement multithread. Bien sûr, ce n'est pas la portée de cet article. Je vais parler de la façon d'utiliser ASP + XML pour implémenter le téléchargement multiple Web et le téléchargement multithread à l'avenir.