網頁“黑手”如何攻擊你的Windows系統

　　網絡的流行，讓我們的世界變得更加美好，但它也有讓人不愉快的時候。比如，當你收到一封主題為“I Love You”的郵件，興沖沖的雙擊附件想欣賞一下這封“情書”的時候，卻在無意當中成為了病毒的受害者和傳播者；或者在浏覽某個網頁的時候，浏覽器標題欄就變成了類似“歡迎光臨……”，而默認主頁也被修改，並且自己的注冊表莫名其妙的被“鎖定”了，即當我們運行“regedit.exe”時，系統彈出一個諸如：“注冊表已被管理員所禁用，請找系統管理員聯系……”等等字樣；更有甚者，聽說浏覽網頁時，自己的硬盤還可能會被悄悄格式化……太可怕了！真有這樣的事嗎？

　　當然是真的，不信，那你敢接著往下看嗎？。

　　其實這個愛蟲病毒（“I Love You”的郵件）和那些惡意破壞你系統的網頁並不可怕，它們都是由幾句並不復雜的VB Script代碼編寫而成的，只要你弄清楚其中的道理，就自然會有應付它們的辦法，那時候你還會擔心它們嗎？本文就對破壞系統的網頁“黑手”加以分析，並給出防范和修復方法，讓大家都能過上“平安幸福的生活”。

　　說道VB Script，還得從WSH說起。

　　一、什麼是WSH？

　　WSH是Windows Scripting Host（Windows腳本主機）的縮略形式。WSH這個概念最早出現於Windows 98操作系統，是一個基於32 位 Windows 平台、並獨立於語言的腳本運行環境。比如：你自己編寫了一個腳本文件，如後綴為 .vbs 或 .js 的文件，然後在 Windows 下雙擊並執行它，這時，系統就會自動調用一個適當的程序來對它進行解釋並執行，而這個程序，就是 Windows Scripting Host，程序執行文件名為 Wscript.exe （若是在DOS命令提示符下，則為 Cscript.exe）。

　　想知道自己的機器上有沒有WSH嗎？查看一下你的機器裡有沒有“Wscipt.exe”或者“Cscript.exe”這兩個文件就可以了。如果找到，恭喜你！你已經安裝了WSH。否則，自己手動安裝吧：

　　在Windows 98環境下，WSH是作為操作系統的一個組件自動安裝的，如果不慎丟失了這個組件，可以從依次打開“控制面板-->添加/刪除程序--〉Windows安裝程序--〉附件”,然後將“Windows Scripting Host”前的劃上“√”，再確定即可完成WSH組件的安裝。

　　二、腳本語言與WSH的關系

　　大家知道，腳本語言（包括JavaScript和VBscript語言等）經常會被植入網頁之中（其中包括 HTML 頁面客戶機端和 ASP 頁面服務器端）。對於植入 HTML 頁面的腳本，其所需的解析引擎會由 IE 這樣的網頁浏覽器載入；對於植入 ASP 頁面的腳本，其所需的解析引擎會由 IIS（Internet Information Services）提供。而對於出現在 HTML 和 ASP 頁面之外的腳本（它們常以獨立的文件形式存在），就需要經由 WSH 來處理了。需要說明的是：WSH 要想正常工作，還要安裝IE 3.0 或更高版本的 IE，因為 WSH 在工作時會調用 IE 中的 VBScript 和 JavaScript　解析引擎。 [未結束][iduba_page]在這些被植於網頁的腳本語言中，絕大多數是與網絡安全無關的。但也有少數別有用心的好事者，把一些嚴重危及網絡安全的代碼（我們常常稱之為“惡意代碼”，他們通常都要通過修改注冊表達到“惡意”的目的！），混放在正常的腳本之中，常常讓我們防不勝防。但是，如果我們了解一點關於腳本語言的知識，這些“伎倆”都是非常容易識破的。還是讓我們從幾個簡單的實例開始吧……

　　三、WSH應用舉例

　　WSH可以處理腳本程序，怎樣閱讀和編寫WSH的腳本源文件呢？只要你有一點Basic（會VB的編程更好，呵呵）語言的基礎，學會看懂WSH腳本語言的程序並不是一件難事。去C:WINDOWSSAMPLESWSH目錄以下將看看吧！裡面提供了幾類經典的腳本例子，而且分別提供了VBScript和JavaScript兩個版本，我們只要用記事本打開它們並仔細研究就不難學到一些基本的WSH應用。

　　你只需在記事本中依次輸入以下每個實例中的代碼，並保存為相應的“*.vbs”文件，雙擊這個文件，你就可以看到相應的效果了。

　　〖實例一〗效果:彈出對話框窗口“歡迎共同學習WSH”。

　　WScript.Echo(“歡迎共同學習WSH”)

　　〖實例二〗效果:在D盤根目錄下建立二十個新文件夾。

　　dim objdir

　　set objdir=WScript.Createobject("Scripting.filesystemobject")

　　for k=1 to 20

　　sNewFolder="d:WSHsample" & k　‘給新的文件夾命名

　　objdir.Createfolder(sNewFolder)

　　next

　　〖實例三〗效果：使用 Windows Scripting Host 在c:創建一個文本文件testfile.txt

　　‘text.vbs　這是本文件的文件名

　　Set RegWsh = Wscript.CreateObject("Wscript.Shell")

　　RegWsh.Run ("notepad " & Wscript.ScriptFullName)

　　‘上面用SHELL對象啟動程序

　　Set fs = Wscript.CreateObject("Scripting.FileSystemObject")

　　Set a = fs.CreateTextFile("c:testfile.txt", True)

　　a.WriteLine("這只是一次測試。請檢查你的機器的c:是否有testfile.txt文件出現？")

　　a.Close

　　很簡單，是吧？呵呵，是的。只要你有一點點程序設計的基礎，看懂以上幾個實例中的代碼是非常容易的，你也可以試著編制一些類似的“腳本”實例了……

　　然而，正是因為腳本編程的門檻低，容易上手，所以在給我們的生活帶來方便和高效的同時，也為少數“不法分子”提供了可乘之機。常見的惡意代碼有什麼特征呢？最根本的一條就是對系統注冊表的訪問。怎樣利用腳本訪問注冊表？ [未結束][iduba_page]四、用VBScript腳本訪問注冊表

　　用VBScript或者Javascript都可以編寫腳本程序。鑒於VBscript語言更接近VB，相信有更多的朋友都是從BASIC語言開始學編程的。所以本文不想介紹Javascript，而重點介紹VBscript。用VBscript編寫的WSH程序文件的擴展名為.vbs，該腳本程序在圖形界面下是由wscript.exe文件解釋執行的，一般直接雙擊.vbs文件即可由系統自動調用wscript.exe進行解釋並執行。在字符界面（DOS方式）下則是由cscript.exe文件解釋執行的,命令格式為：cscript filename.vbs。先來看看幾個相關的操作和方法：

　　1、創建對象

　　用VBScript訪問注冊表，必須先創建一個能與操作系統溝通的對象,再利用該對象的各種方法對注冊表進行操作,創建這個對象的方法和格式如下:

　　Set 對象變量名=WScript.CreateObject("WScript.Shell")

　　如：Set regwsh=WScript.CreateObject("WScript.Shell") 就可以創建一個名為“regwsh”的對象。

　　2、該對象常用的方法

　　有了以上這個對象，還要借助它的幾個重要的方法，才能達到訪問注冊表的目的。常用的方法有：

　　①讀注冊表鍵值的操作RegRead

　　格式：object.RegRead(路徑參數)

　　②創建/修改注冊表鍵值的操作RegWrite

　　格式：RegWrite 路徑參數, 值 [,值類型]

　　說明：當被操作的“路徑參數”不存在時，創建該主鍵或鍵值；反之，則修改原有的鍵值。

　　③刪除注冊表鍵值的操作RegDelete

　　格式：RegDelete 路徑參數

　　3、關於路徑參數的說明

　　該路徑參數指出了操作的對象。它由根鍵、主鍵路徑和鍵值三部分組成,各部分表示的方法如下:

　　①根鍵

　　根鍵有兩種表示方法：縮寫形式（short）和完整形式（Long）。相互的對應關系為：

　　Short Long

　　HKCU HKEY_CURRENT_USER

　　HKLM HKEY_LOCAL_MACHINE

　　HKCR HKEY_CLASSES_ROOT

　　而對於 HKEY_USERS 和 HKEY_CURRENT_CONFIG 兩個根鍵則沒有縮寫形式。

　　②主鍵路徑

　　主鍵路徑就是目標鍵在注冊表中的主鍵位置，各個主鍵之間用""符分隔開。如："SoftwareMicrosoftWindowsCurrentVersionPolicies"

　　③鍵值

　　鍵值參數可以省去不寫。在這種情況下，整個路徑參數就以""結尾。這時，所有的操作都只針對整個主鍵來進行，而不是該主鍵的某個鍵值。如果想對某個主鍵下的某個鍵值進行操作，則應包含這一部分，直接接在主鍵路徑之後即可。

　　例如一個完整的路徑參數如下所示："HKCRSoftwareMicrosoftWindowsCurrentVersionPoliciesNoRun" [未結束][iduba_page]4、應用舉例

　　〖應用之一〗

　　以下將是一個創建、讀取顯示、修改和刪除注冊表項的腳本示例。程序在每一次進行注冊表的操作之前，都會給出相應的提示，建議大家在運行本程序之前，用一個窗口打開本腳本的源代碼，在另一個窗口打開注冊表編輯器，並找到HKEY_CURRENT_USER根鍵。在每一次出現提示之後，不要急於點擊“確定”，按<TAB>鍵切換到注冊表編輯窗口，按下<F5>刷新一下注冊表的相關鍵值，並觀察程序的執行情況與注冊表變化之間的關系。最後切換到提示窗口，按下“確定”繼續程序的執行。這樣，相信大家都能立即理解並學會這幾個方法的使用方法。源代碼如下：

　　‘DEMO.vbs 這是腳本程序的文件名

　　Dim RegWsh,sReadKey,sPrompt,sFixprompt

　　sFixprompt=chr(13)&chr(10)&"　是否與寫入的內容相一致？:) :-) :--)"

　　MsgBox "此腳本顯示如何創建、讀取、修改和刪除注冊表項。"

　　Set RegWsh = WScript.CreateObject("WScript.Shell")

　　MsgBox "創建項 HKCUMyRegKey，數值為 ‘一級鍵值‘"

　　RegWsh.RegWrite "HKCUMyRegKey", "一級鍵值"

　　sReadKey=RegWsh.RegRead("HKCUMyRegKey")

　　sPrompt="(默認)鍵值為：‘"&sRea