反黑衛(wèi)士教你認(rèn)識(shí)VBS病毒躲避殺毒軟件的常用伎倆

 VBS腳本（visual basic scripting edition）的簡寫，它以Wsh(windows腳本宿主)為依托。借助windows提供的強(qiáng)大功能，成為計(jì)算機(jī)應(yīng)用中強(qiáng)有力的工具。但是很多人利用它的強(qiáng)大功能編寫破壞性代碼構(gòu)造惡意程序。對(duì)VBS腳本病毒的防治必須建立在對(duì)它了解的基礎(chǔ)上�，F(xiàn)在介紹本人對(duì)VBS病毒自我保護(hù)機(jī)制的認(rèn)識(shí)給大家分享。以便更多的人能自己動(dòng)手處理vbs病毒。

1、改變對(duì)象的聲明方式

譬如fso=createobject("scripting.filesystemobject")，我們將其改變?yōu)?
fso=createobject("script"＋"ing.filesyste"＋"mobject")，這樣反病毒軟件對(duì)其進(jìn)行靜態(tài)掃描時(shí)就不會(huì)發(fā)現(xiàn)filesystemobject對(duì)象。

2、利用Execute函數(shù)
巧妙運(yùn)用Execute方法可以有效防治殺毒軟件查殺。很多殺毒軟件檢測VBS病毒時(shí)，會(huì)檢查程序中是否聲明使用了FileSystemObject對(duì)象，如果采用了，這會(huì)發(fā)出報(bào)警。如果病毒將這段聲明代碼轉(zhuǎn)化為字符串，然后通過Execute(String)函數(shù)執(zhí)行，就可以躲避某些

反病毒軟件。

3、代碼動(dòng)態(tài)變化

下面引用一個(gè)網(wǎng)上代碼變化引擎的例子說明

Randomize
Set Of = CreateObject("Scripting.FileSystemObject")
’創(chuàng)建文件系統(tǒng)對(duì)象
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
’讀取自身代碼
fS=Array("Of", "vC", "fS", "fSC")
’定義一個(gè)即將被替換字符的數(shù)組
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)))
’取4個(gè)隨機(jī)字符替換數(shù)組fS中的字符串
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC
’將替換后的代碼寫回文件

以上就是VBS腳本躲避殺軟的主要手段