Board logo

标题: 这样一段VBS代码被杀,请问有不有方法免杀呢`` [打印本页]
作者: fengzi     时间: 2007-5-23 11:32    标题: 这样一段VBS代码被杀,请问有不有方法免杀呢``

DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C %systemroot%\temp\hehe.bat", 0, TRUE)
我也找了VBS加密工具对其加密`但还是被杀``请问有不有朋友能帮我想想办法 谢谢。
作者: zhoushijay     时间: 2007-5-23 11:38
DIM objShell
set objShell=wscript.createObject("wscript.shell")
a=%syste
b=mroot%\tem
c=p\hehe.bat

iReturn=objShell.Run("cmd.exe /C a&b&c", 0, TRUE)
你试试这样
作者: fengzi     时间: 2007-5-23 11:51


  Quote:
Originally posted by zhoushijay at 2007-5-23 11:38 AM:
DIM objShell
set objShell=wscript.createObject("wscript.shell")
a=%syste
b=mroot%\tem
c=p\hehe.bat

iReturn=objShell.Run("cmd.exe /C a&b&c", 0, TRUE)
你试试这样

编译器错误。。。
呵呵
不过还是谢谢你
作者: zhoushijay     时间: 2007-5-23 11:56
DIM objShell
set objShell=wscript.createObject("wscript.shell")
a="%syste"
b="mroot%\tem"
c="p\hehe.bat"

iReturn=objShell.Run("cmd.exe /C a&b&c", 0, TRUE)
这样就可以了,忘了加冒号,不过我不理解为什么这段脚本会被认为是木马
作者: fengzi     时间: 2007-5-23 11:58
是被卡吧杀掉的`
我也不知道这样一段简单的代码会被杀``结果我传到http://www.virustotal.com/en/resultadof.html
去检测``居然有7个杀毒软件报病毒。。。。
作者: zhoushijay     时间: 2007-5-23 11:59
再试试加了冒号的代码
作者: ttyp     时间: 2007-5-23 12:05
没什么诀窍,就是把所有的字符串都拆分相加,或者做一个算法得出这个字符串

尤其是createObject里的
作者: fengzi     时间: 2007-5-23 12:08
呵呵``谢谢了```
作者: slore     时间: 2007-5-23 16:47


  Quote:
Originally posted by zhoushijay at 2007-5-23 11:56:
Dim objShell
Set objShell = wscript.CreateObject("WScript.Shell")
a = "%syste"
b = "mroot%\tem"
c = "p\hehe.bat"

iReturn = objShell.Run("cmd.exe /C a&b&c", 0, True)

没发现VBS还挺强的,可以智能分析字符串中的变量了。。PF
作者: zhoushijay     时间: 2007-5-23 17:49
经你这么一说才发现问题,上面应该是错误的,正确的应该是:
objShell.Run("cmd.exe /C "&a&b&c, 0, True)这样才对吧
作者: baomaboy     时间: 2007-5-23 20:52
唯一要说的还是:

不要想当然的写出来,最起码在自己的系统里要正常执行才好。
作者: zhoushijay     时间: 2007-5-24 11:14
我当时因为没有创建个hehe.bat文件,运行下后没有报错,所以还以为正确的
这个方法还是你教我的呢,呵呵!
作者: baomaboy     时间: 2007-5-24 18:20
字符串拆分躲避杀软我确实告诉你了    不过 我可没说过让你把变量引起来 呵呵