Karena saya belum pernah mendapatkan kode sumber ASP sebelumnya, saya tidak berani menganalisis alasan mengapa saya dapat mengunduh file yang dapat dieksekusi dari jarak jauh ke area lokal tanpa izin. Baru -baru ini saya mendengar bahwa firewall virus akan mendorong virus saat menonton halaman web. Sekarang mari kita analisis virus HTML.
Setelah sedikit melihat, saya menemukan bahwa ada bingkai mengambang implisit di baris kode halaman beranda berikut. URL yang dirujuk bukan lokal, rasanya seharusnya, jadi saya menggunakan flashget lagi dan turun. Saya benar -benar menemukan bahwa ruang tempat virus ditempatkan tidak mendukung ASP, dan file ASP yang saya unduh adalah file sumber. Setelah minat ini datang, saya mengunduh semua dokumen virus yang relevan melalui beberapa langkah.
Karena virus ini sangat sederhana, saya hanya menyalin beberapa klip. Jika Anda benar -benar tertarik, Anda mungkin tidak berhati -hati menemukan halaman web dengan virus. Namun, jangan gunakan IE untuk membacanya. Anda harus menggunakan flashget dan alat unduhan lainnya untuk mengunduhnya, dan kemudian membukanya dengan notepad. Kalau tidak, jika Anda dipukul, jangan datang kepada saya. Oke, teks utamanya akan dimulai.
Ada tiga file untuk virus nyata, satu adalah file boot, satu adalah file unduhan, dan yang ketiga adalah file aktivasi.
File boot pertama
Bagian utamanya adalah:
Fungsi ini adalah merujuk dan menjalankan unduhan dan aktivasi dua file sebagai objek halaman. Ini juga merupakan titik kunci bagi file virus yang terinfeksi secara lokal. Dalam file yang direferensikan, itu sebenarnya dapat merujuk komponen tindakan klien tanpa hambatan. Oh, ini pisau itu.
Yang kedua adalah mengunduh file virus exe
Lalu cara mengunduh EXE tanpa memunculkan kotak prompt unduhan. Ini adalah tugas untuk mengumpulkan dan mengunduh file.
Metode virus ini adalah menggunakan komponen microsoft.xmlHttp dan response.contentType = "Image/GIF" di sisi server untuk mengunduh file virus dalam format gambar ke cache web klien (ini adalah operasi GET/BinerWrite yang sangat sederhana, jadi saya tidak akan masuk ke detail).
Yang ketiga adalah aktivasi
Saya merasa bahwa proses aktivasi sangat pintar. Virus pertama menggunakan FSO untuk menghasilkan file HTA di bawah C:/ dan menulis proses aktivasi ke dalam file ini. Kemudian gunakan wscript.shell untuk menjalankan file ini. Dengan cara ini, tidak ada masalah dengan operasi yang memerlukan izin besar selama proses aktivasi (seperti penulisan operasi registri).
Proses operasi spesifik seperti ini. Pindahkan file virus di direktori cache web ke direktori file sistem dan ubah menjadi win.exe. Tulis kunci maging sendiri ke dalam registri sehingga virus dapat secara otomatis dimulai setelah sistem restart, dan kemudian hapus file HTA untuk menyelesaikan infeksi dan aktivasi.
Ini adalah proses operasi dasar virus (saya tidak akan menyebutkan bagian penghancuran virus menurut konvensi), tetapi apa gunanya ini bagi kita? Bahkan, saya sangat membenci virus ini, tetapi masih ada beberapa yang tersedia untuk proses pengunduhan dan aktivasi. Misalnya: Sistem yang sedang Anda kerjakan harus mengunduh beberapa komponen dan mengaktifkannya sebelum dapat digunakan. Operasi semacam ini tentu saja tidak masalah bagi mereka yang memahaminya, tetapi jika Anda menghadapi pengguna yang belum menemukan apa pun di jaringan, saya kira sistem akan meledak sebelum mulai menggunakan ponsel Anda. Jika Anda meminjam metode ini dan secara otomatis mengunduh komponen dan mengaktifkannya secara otomatis ketika pihak lain mengizinkannya, itu akan menghemat lebih banyak masalah, bukan?
Namun, metode ini sangat nyaman untuk file berbentuk kecil. Jika Anda ingin mengunduh file di atas 1m ... Anda perlu mempertimbangkan pengunduhan multi-utas. Tentu saja, ini bukan ruang lingkup artikel ini. Saya akan berbicara tentang cara menggunakan ASP+XML untuk mengimplementasikan unggahan multi-threaded web dan unduhan multi-threaded di masa mendatang.
Di atas adalah seluruh konten artikel ini. Saya berharap konten artikel ini akan membantu studi atau pekerjaan Anda. Jika Anda memiliki pertanyaan, Anda dapat meninggalkan pesan untuk berkomunikasi. Terima kasih atas dukungan Anda dari saluran teknologi baru yang benar atau salah!