Eu sempre quis escrever este artigo, mas quando estava no trabalho, disse que iria trabalhar, mas não escrevi. Depois que cheguei em casa, eu estava ocupado jogando e joguei de lado. Agora tenho que começar a escrever sem fazer meu trabalho, esperando que meu chefe não saiba meu blog. Haha, eu estava muito interessado em vírus HTML há muito tempo. Fiquei curioso sobre como fazer o download remotamente de arquivos executáveis para a área local sem permissão. Eu simplesmente não tive a chance de obter o código original do ASP, então ousei fazer qualquer análise fora do contexto. Recentemente, ouvi um amigo dizer que, quando ele estava lendo uma página da web, o firewall do vírus provocou que havia um vírus e me pediu para ter cuidado (graças a ele primeiro). Eu tinha um flash de pensamento, e abri o flashget e baixei a página inicial do vírus. Depois de uma pequena olhada, descobri que há uma estrutura flutuante implícita nas seguintes linhas do código da página inicial. O URL que referenciou não era local, parecia que deveria ser, então eu usei o flashget novamente e caí. Na verdade, descobri que o espaço onde o vírus foi colocado não suporta ASP, e o arquivo ASP que eu baixei é o arquivo de origem. Depois que esse interesse chegou, baixei todos os documentos relevantes do vírus em algumas etapas. Como esse vírus é muito simples, eu apenas copiei alguns clipes. Se você está realmente interessado, pode não ter cuidado ao encontrar uma página da web com um vírus. No entanto, não use o IE para lê -lo. Você deve usar o flashget e outras ferramentas de download para fazer o download e, em seguida, abra -o com o bloco de notas. Caso contrário, se você for atingido, não venha até mim. Ok, o texto principal começará. Existem três arquivos para vírus reais, um é o arquivo de inicialização, um é o arquivo de download e o terceiro é o arquivo de ativação. A parte chave do primeiro arquivo de inicialização é: esta função é consultar e executar o download e a ativação de dois arquivos como objetos da página. Este também é o ponto principal em que o arquivo de vírus pode ser infectado localmente. No arquivo referenciado, ele pode realmente fazer referência ao componente de ação do cliente sem obstáculos. Oh, isso é essa faca. O segundo é baixar o arquivo do vírus exe e depois fazer o download do exe sem aparecer na caixa Prompt de download. Esta é uma tarefa para coletar e baixar arquivos. O método desse vírus é usar o componente Microsoft.xmlHttp e Response.ContentType = Image/GIF no lado do servidor para baixar o arquivo de vírus no formato da imagem no cache da Web do cliente (esta é uma operação Get/Binarywrite muito simples, para não entrar em detalhes). O terceiro é que o processo de ativação da ativação sensorial é muito inteligente. O vírus primeiro usa o FSO para gerar um arquivo HTA em C:/, e grava o processo de ativação nesse arquivo. Em seguida, use o wscript.shell para executar este arquivo. Dessa forma, não há nenhum problema com operações que exijam grandes permissões durante o processo de ativação (como a gravação de operações de registro). O processo de operação específico é assim. Mova o arquivo de vírus no diretório do cache da web para o diretório de arquivos do sistema e altere -o para win.exe. Escreva a tecla Auto-iniciante no registro para que o vírus possa iniciar automaticamente após o reinício do sistema e exclua o arquivo HTA para concluir a infecção e a ativação. Este é o processo de operação básico do vírus (não mencionarei a parte de destruição do vírus de acordo com a Convenção), mas qual é a utilidade disso para nós? Na verdade, eu odeio muito esse vírus, mas ainda existem alguns disponíveis para processos de download e ativação. Por exemplo: o sistema em que você está trabalhando deve baixar alguns componentes e ativá -lo antes que ele possa ser usado. É claro que esse tipo de operação não há problema para quem a entende, mas se você está enfrentando um usuário que não descobriu nada na rede, acho que o sistema explodirá antes de começar a usar seu telefone. Se você emprestar esse método e baixar automaticamente os componentes e ativá -los automaticamente quando a outra parte os permitir, isso economizará muito mais problemas, certo? No entanto, esse método é muito conveniente para arquivos pequenos. Se você deseja baixar arquivos acima de 1m ... você precisa considerar o download multi-thread. Obviamente, este não é o escopo deste artigo. Falarei sobre como usar asp+xml para implementar upload multi-thread da web e download multi-thread no futuro.