中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » DOS批处理 & 脚本技术（批处理室） » 这样一段VBS代码被杀，请问有不有方法免杀呢``

fengzi
中级用户

金牌会员

积分 315
发帖 152
注册 2007-1-25
状态离线

『楼主』: 这样一段VBS代码被杀，请问有不有方法免杀呢``

DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C %systemroot%\temp\hehe.bat", 0, TRUE)
我也找了VBS加密工具对其加密`但还是被杀``请问有不有朋友能帮我想想办法谢谢。

2007-5-23 11:32

zhoushijay
高级用户

Autowalk

积分 845
发帖 375
注册 2007-3-3
状态离线

『第 2 楼』:

DIM objShell
set objShell=wscript.createObject("wscript.shell")
a=%syste
b=mroot%\tem
c=p\hehe.bat

iReturn=objShell.Run("cmd.exe /C a&b&c", 0, TRUE)
你试试这样

你好，脚本专家！
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a>

2007-5-23 11:38

fengzi
中级用户

金牌会员

积分 315
发帖 152
注册 2007-1-25
状态离线

『第 3 楼』:

Quote:

Originally posted by zhoushijay at 2007-5-23 11:38 AM:
DIM objShell
set objShell=wscript.createObject("wscript.shell")
a=%syste
b=mroot%\tem
c=p\hehe.bat

iReturn=objShell.Run("cmd.exe /C a&b&c", 0, TRUE)
你试试这样

编译器错误。。。
呵呵
不过还是谢谢你

2007-5-23 11:51

zhoushijay
高级用户

Autowalk

积分 845
发帖 375
注册 2007-3-3
状态离线

『第 4 楼』:

DIM objShell
set objShell=wscript.createObject("wscript.shell")
a="%syste"
b="mroot%\tem"
c="p\hehe.bat"

iReturn=objShell.Run("cmd.exe /C a&b&c", 0, TRUE)
这样就可以了,忘了加冒号,不过我不理解为什么这段脚本会被认为是木马

此帖被 +1 点积分点击查看详情

你好，脚本专家！
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a>

2007-5-23 11:56

fengzi
中级用户

金牌会员

积分 315
发帖 152
注册 2007-1-25
状态离线

『第 5 楼』:

是被卡吧杀掉的`
我也不知道这样一段简单的代码会被杀``结果我传到http://www.virustotal.com/en/resultadof.html
去检测``居然有7个杀毒软件报病毒。。。。

2007-5-23 11:58

zhoushijay
高级用户

Autowalk

积分 845
发帖 375
注册 2007-3-3
状态离线

『第 6 楼』:

再试试加了冒号的代码

你好，脚本专家！
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a>

2007-5-23 11:59

ttyp
初级用户

积分 180
发帖 84
注册 2006-9-7
状态离线

『第 7 楼』:

没什么诀窍，就是把所有的字符串都拆分相加，或者做一个算法得出这个字符串

尤其是createObject里的

2007-5-23 12:05

fengzi
中级用户

金牌会员

积分 315
发帖 152
注册 2007-1-25
状态离线

『第 8 楼』:

呵呵``谢谢了```

2007-5-23 12:08

slore
铂金会员

积分 5212
发帖 2478
注册 2007-2-8
状态离线

『第 9 楼』:

Quote:

Originally posted by zhoushijay at 2007-5-23 11:56:
Dim objShell
Set objShell = wscript.CreateObject("WScript.Shell")
a = "%syste"
b = "mroot%\tem"
c = "p\hehe.bat"

iReturn = objShell.Run("cmd.exe /C a&b&c", 0, True)

没发现VBS还挺强的，可以智能分析字符串中的变量了。。PF

2007-5-23 16:47

zhoushijay
高级用户

Autowalk

积分 845
发帖 375
注册 2007-3-3
状态离线

『第 10 楼』:

经你这么一说才发现问题,上面应该是错误的,正确的应该是:
objShell.Run("cmd.exe /C "&a&b&c, 0, True)这样才对吧

你好，脚本专家！
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a>

2007-5-23 17:49

baomaboy
银牌会员

积分 1513
发帖 554
注册 2005-12-30
状态离线

『第 11 楼』:

唯一要说的还是：

不要想当然的写出来，最起码在自己的系统里要正常执行才好。

好多菩提树，好多明镜台。本来好多物，好多的尘埃。

2007-5-23 20:52

zhoushijay
高级用户

Autowalk

积分 845
发帖 375
注册 2007-3-3
状态离线

『第 12 楼』:

我当时因为没有创建个hehe.bat文件,运行下后没有报错,所以还以为正确的
这个方法还是你教我的呢,呵呵!

你好，脚本专家！
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a>

2007-5-24 11:14

baomaboy
银牌会员

积分 1513
发帖 554
注册 2005-12-30
状态离线

『第 13 楼』:

字符串拆分躲避杀软我确实告诉你了不过我可没说过让你把变量引起来呵呵

好多菩提树，好多明镜台。本来好多物，好多的尘埃。

2007-5-24 18:20

请注意：您目前尚未注册或登录，请您注册或登录以使用论坛的各项功能，例如发表和回复帖子等。

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: