深入挖掘Windows指令碼技術第1/2頁

深入挖掘Windows指令碼技術

文章作者：zzzEVAzzz <zzzevazzz@126.com>

為使文中涉及的代碼整潔，將使用論壇的PHP標籤處理。（沒有VBS標籤，code標籤不好用，鬱悶）
如果轉載本文，請注意做相應調整。

【目錄】
1，前言
2，回顧WSH對象
3，WMI服務
4，指令碼也有GUI
5，反查殺
6，來做個後門
7，結語
8，參考資料

【前言】
本文講述一些Windows指令碼編程的知識和技巧。這裡的Windows指令碼是指"Windows Script Host"(WSH Windows指令碼宿主)，而不是HTML或ASP中的指令碼。前者由Wscript或Cscript解釋，後兩者分別由IE和IIS負責解釋。描述的語言是VBScript。本文假設讀者有一定的Windows指令碼編程的基礎。如果你對此還不瞭解，請先學習《Windows指令碼技術》[1]。

【回顧WSH對象】
得益於com技術的支援，WSH能提供比批處理(.bat)更強大的功能。說白了，wsh不過是調用現成的“控制項”作為一個對象，用對象的屬性和方法實現目的。

常用的對象有：
WScript
Windows指令碼宿主物件模型的根對象，要使用WSH自然離不開它。它提供多個子物件，比如WScript.Arguments和WScript.Shell。前者提供對整個命令列參數集的訪問，後者可以運行程式、操縱註冊表內容、建立捷徑或訪問系統檔案夾。

Scripting.FileSystemObject
主要為IIS設計的對象，訪問檔案系統。這個恐怕是大家遇到最多的對象了，因為幾乎所有的Windows指令碼病毒都要通過它複製自己感染別人。

ADODB.Stream
ActiveX Data Objects資料庫的子物件，提供流方式訪問檔案的功能。這雖然屬於資料庫的一部分，但感謝微軟，ADO是系統內建的。

Microsoft.XMLHTTP
為支援XML而設計的對象，通過http協議訪問網路。常用於跨站指令碼執行漏洞和SQL injection。

還有很多不常見的：
活動目錄服務介面(ADSI)相關對象 —— 功能涉及範圍很廣，主要用於Windows域管理。
InternetExplorer對象 —— 做IE能做的各種事。
Word，Excel，Outlook對象 —— 用來處理word文檔，excel表單和郵件。
WBEM對象 —— WBEM即Web-Based Enterprise Management。它為管理Windows提供強大的功能支援。下一節提到的WMI服務提供該對象的介面。

很顯然，WSH可以利用的對象遠遠不止這些。本文掛一漏萬，談一些較實用的對象及其用法。
先看一個支援斷點續傳下載web資源的例子，它用到了上面說的4個常用對象。 複製代碼 代碼如下:if (lcase(right(wscript.fullname,11))="wscript.exe") then '判斷指令碼宿主的名稱'
die("Script host must be CScript.exe.") '指令碼宿主不是CScript，於是就die了'
end if

if wscript.arguments.count<1 then '至少要有一個參數'
die("Usage: cscript webdl.vbs url [filename]") '麻雀雖小五髒俱全，Usage不能忘'
end if

url=wscript.arguments(0) '參數數組下標從0開始'
if url="" then die("URL can't be null.") '敢唬我，空url可不行'
if wscript.arguments.count>1 then '先判斷參數個數是否大於1'
filename=wscript.arguments(1) '再訪問第二個參數'
else '如果沒有給出檔案名稱，就從url中獲得'
t=instrrev(url,"/") '獲得最後一個"/"的位置'
if t=0 or t=len(url) then die("Can not get filename to save.") '沒有"/"或以"/"結尾'
filename=right(url,len(url)-t) '獲得要儲存的檔案名稱'
end if
if not left(url,7)="http://" then url="http://"&url '如果粗心把“http://”忘了，加上'

set fso=wscript.createobject("Scripting.FileSystemObject") 'FSO，ASO，HTTP三個對象一個都不能少'
set aso=wscript.createobject("ADODB.Stream")
set http=wscript.createobject("Microsoft.XMLHTTP")

if fso.fileexists(filename) then '判斷要下載的檔案是否已經存在'
start=fso.getfile(filename).size '存在，以當前檔案大小作為開始位置'
else
start=0 '不存在，一切從零開始'
fso.createtextfile(filename).close '建立檔案'
end if

wscript.stdout.write "Connectting..." '好戲剛剛開始'
current=start '當前位置即開始位置'
do
http.open "GET",url,true '這裡用非同步方式調用HTTP'
http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) '斷點續傳的奧秘就在這裡'
http.setrequestheader "Content-Type:","application/octet-stream"
http.send '構造完資料包就開始發送'

for i=1 to 120 '迴圈等待'
if http.readystate=3 then showplan() '狀態3表示開始接收資料，顯示進度'
if http.readystate=4 then exit for '狀態4表示資料接受完成'
wscript.sleep 500 '等待500ms'
next
if not http.readystate=4 then die("Timeout.") '1分鐘還沒下完20k？逾時！'
if http.status>299 then die("Error: "&http.status&" "&http.statustext) '不是吧，又出錯？'
if not http.status=206 then die("Server Not Support Partial Content.") '伺服器不支援斷點續傳'

aso.type=1 '資料流類型設為位元組'
aso.open
aso.loadfromfile filename '開啟檔案'
aso.position=start '設定檔案指標初始位置'
aso.write http.responsebody '寫入資料'
aso.savetofile filename,2 '覆蓋儲存'
aso.close

range=http.getresponseheader("Content-Range") '獲得http頭中的"Content-Range"'
if range="" then die("Can not get range.") '沒有它就不知道下載完了沒有'
temp=mid(range,instr(range,"-")+1) 'Content-Range是類似123-456/789的樣子'
current=clng(left(temp,instr(temp,"/")-1)) '123是開始位置，456是結束位置'
total=clng(mid(temp,instr(temp,"/")+1)) '789是檔案總位元組數'
if total-current=1 then exit do '結束位置比總大小少1就表示傳輸完成了'
start=start+20480 '否則再下載20k'
loop while true

wscript.echo chr(13)&"Download ("&total&") Done." '下載完了，顯示總位元組數'

function die(msg) '函數名來自Perl內建函數die'
wscript.echo msg '交代遺言^_^'
wscript.quit '去見馬克思了'
end function

function showplan() '顯示下載進度'
if i mod 3 = 0 then c="/" '簡單的動態效果'
if i mod 3 = 1 then c="-"
if i mod 3 = 2 then c="\"
wscript.stdout.write chr(13)&"Download ("¤t&") "&c&chr(8)'13號ASCII碼是回到行首，8號是退格'
end function

可以看到，http控制項的功能是很強大的。通過對http頭的操作，很容易就實現斷點續傳。例子中只是單線程的，事實上由於http控制項支援非同步呼叫和事件，也可以實現多線程下載。在MSDN裡有詳細的用法。至於斷點續傳的詳細資料，請看RFC2616。

FSO和ASO都可以訪問檔案，他們有什麼區別呢？其實，ASO除了在訪問位元組（非文本）資料有用外，就沒有存在的必要了。如果想把例子中的ASO用FSO來實現，那麼寫入http.responsebody的時候會出錯。反之也不行，ASO無法判斷檔案是否存在。如果檔案不存在，loadfromfile就直接出錯，沒有改正的機會。當然，可以用on error resume next語句讓指令碼宿主忽略非致命錯誤，自己捕捉並處理。但有現成的fileexists()為什麼不用呢？

另外，由於FSO經常被指令碼病毒和ASP木馬利用，所以管理員可能會在註冊表中修改該控制項的資訊，使指令碼無法建立FSO。其實執行一個命令regsvr32 /s scrrun.dll就恢複了。即使scrrun.dll被刪除，自己複製一個過去就行。

熱身完之後，下面我們來看一個功能強大的對象——WBEM（由WMI提供）。

【WMI服務】
先看看MSDN裡是怎麼描述WMI的——Windows 管理規範 (WMI) 是可伸縮的系統管理結構，它採用一個統一的、基於標準的、可擴充的物件導向介面。我在剛開始理解WMI的時候，總以為WMI是"Windows管理介面"(Interface)，呵呵。

再看什麼是WMI服務——提供共同的介面和對象模式以便訪問有關作業系統、裝置、應用程式和服務的管理資訊。如果此服務被終止，多數基於Windows的軟體將無法正常運行。如果此服務被禁用，任何依賴它的服務將無法啟動。

看上去似乎是個很重要的服務。不過，預設情況下並沒有服務依賴它，反而是它要依賴RPC和EventLog服務。但它又是時常用到的。我把WMI服務設定為手動啟動並停止，使用電腦一段時間，發現WMI服務又啟動了。被需要就啟動，這是服務設定為“手動”的特點。當我知道WMI提供的管理資訊有多龐大後，對WMI服務的自啟動就不感到奇怪了。

想直觀瞭解WMI的複雜，可以使用WMITools.exe[2]這個工具。這是一個工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象，其複雜程度不亞於註冊表。更重要的是，WMI還提供動態資訊，比如當前進程、服務、使用者等。

WMI的邏輯結構是這樣的：
首先是WMI使用者，比如指令碼（確切的說是指令碼宿主）和其他用到WMI介面的應用程式。由WMI使用者訪問CIM對象管理器WinMgmt（即WMI服務），後者再訪問CIM(公用資訊模型Common Information Model)儲存庫。靜態或動態資訊（對象的屬性）就儲存在CIM庫中，同時還存有對象的方法。一些操作，比如啟動一個服務，通過執行對象的方法實現。這實際上是通過COM技術調用了各種dll。最後由dll中封裝的API完成請求。

WMI是事件驅動的，作業系統、服務、應用程式、裝置驅動程式等都可作為事件來源，通過COM介面建置事件通知。WinMgmt捕捉到事件，然後重新整理CIM庫中的動態資訊。這也是為什麼WMI服務依賴EventLog的原因。

說完概念，我們來看看具體如何操作WMI介面。
下面這個例子的代碼來自我寫的指令碼RTCS。它是遠程配置telnet服務的指令碼。
這裡只列出關鍵的部分：

首先是建立對象並串連伺服器： 複製代碼 代碼如下:set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root\default",username,password)

第一句建立一個服務定位對象，然後第二句用該對象的connectserver方法串連伺服器。
除了IP地址、使用者名稱、密碼外，還有一個名字空間參數root\default。
就像註冊表有根鍵一樣，CIM庫也是分類的。用物件導向的術語來描述就叫做“名字空間”(Name Space)。
由於RTCS要處理NTLM認證方式和telnet服務連接埠，所以需要訪問註冊表。而操作註冊表的對象在root\default。 複製代碼 代碼如下:set objinstance=objswbemservices.get("stdregprov") '執行個體化stdregprov對象'
set objmethod=objinstance.methods_("SetDWORDvalue") 'SetDWORDvalue方法本身也是對象'
set objinparam=objmethod.inparameters.spawninstance_() '執行個體化輸入參數對象'
objinparam.hdefkey=&h80000002 '根目錄是HKLM，代碼80000002(16進位)'
objinparam.ssubkeyname="SOFTWARE\Microsoft\TelnetServer.0" '設定子鍵'
objinparam.svaluename="NTLM" '設定索引值名'
objinparam.uvalue=ntlm '設定索引值內容，ntlm是變數，由使用者輸入參數決定'
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) '執行方法'

然後設定連接埠 複製代碼 代碼如下:objinparam.svaluename="TelnetPort"
objinparam.uvalue=port 'port也是由使用者輸入的參數'
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)

看到這裡你是不是覺得有些頭大了呢？又是名字空間，又是類的執行個體化。我在剛開始學習WMI的時候也覺得很不習慣。記得我的初中老師說過，讀書要先把書讀厚，再把書讀薄。讀厚是因為加入了自己的想法，讀薄是因為把握要領了。
我們現在就把書讀薄。上面的代碼可以改為： 複製代碼 代碼如下:set olct=createobject("wbemscripting.swbemlocator")
set oreg=olct.connectserver(ip,"root\default",user,pass).get("stdregprov")
HKLM=&h80000002
out=oreg.setdwordvalue(HKLM,"SOFTWARE\Microsoft\TelnetServer.0","NTLM",ntlm)
out=oreg.setdwordvalue(HKLM,"SOFTWARE\Microsoft\TelnetServer.0","TelnetPort",port)

現在是不是簡單多了？

接著是對telnet服務狀態的控制。 複製代碼 代碼如下:set objswbemservices=objlocator.connectserver(ipaddress,"root\cimv2",username,password)
set colinstances=objswbemservices.execquery("select * from win32_service where name='tlntsvr'")

這次串連的是root\cimv2名字空間。然後採用wql(sql for WMI)搜尋tlntsvr服務。熟悉sql文法的一看就知道是在做什麼了。這樣得到的是一組Win32_Service執行個體，雖然where語句決定了該組總是只有一個成員。
為簡單起見，假設只要切換服務狀態。 複製代碼 代碼如下:for each objinstance in colinstances
if objinstance.started=true then '根據started屬性判斷服務是否已經啟動'
intstatus=objinstance.stopservice() '是，調用stopservice停止服務'
else
intstatus=objinstance.startservice() '否，調用startservice啟動服務'
end if
next

關鍵的代碼就是這些了，其餘都是處理輸入輸出和容錯的代碼。
總結一下過程：
1，串連伺服器和合適的名字空間。
2，用get或execquery方法獲得所需對象的一個或一組執行個體。
3，讀寫對象的屬性，調用對象的方法。

那麼，如何知道要串連哪個名字空間，獲得哪些對象呢？《WMI技術指南》[3]中分類列出了大量常用的對象。可惜它沒有相應的電子書，你只有到書店裡找它了。你也可以用WMITools裡WMI CIM Studio這個工具的搜尋功能，很容易就能找想要的對象。找到對象後，WMI CIM Studio能列出其屬性和方法，然後到MSDN裡找具體的協助。而應用舉例，除了我寫的7個RS系列指令碼，還有參考資料[4]。

需要特別說明的是，在參考資料[4]中，串連伺服器和名字空間用的是類似如下的文法：
Codz:
Set objWMIService=GetObject("winmgmts:!\"&strComputer&"\root\cimv2:Win32_Process")

詳細的文法在《WMI技術指南》和MSDN中有介紹，但我們不關心它，因為這種辦法沒有使用者名稱和密碼參數。 因此，只有在目前使用者在目標系統（含本地）有登陸許可權的情況下才能使用。而connectserver如果要本地使用，第一個參數可以是127.0.0.1或者一個點"."，第3、4個參數都是Null 字元串""。

最後，訪問WMI還有一個“特權”的問題。如果你看過ROTS的代碼，你會發現有兩句“奇怪”的語句：
Codz:
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true

這是在向WMI服務申請許可權。18和23都是許可權代號。下面列出一些重要的代號：
5 在域中建立帳戶
7 管理審計並查看、儲存和清理安全日誌
9 載入和卸載裝置驅動
10 記錄系統時間
11 改變系統時間
18 在本地關機
22 繞過曆遍檢查
23 允許遠程關機

詳細資料還是請看《WMI技術指南》或MSDN。
所有特權預設是沒有的。我在寫RCAS時，因為忘了申請特權11，結果一直測試失敗，很久才找到原因。
只要有許可權串連WMI服務，總能成功申請到需要的特權。這種特權機制，只是為了約束應用程式的行為，加強系統穩定性。有點奇怪的是，訪問註冊表卻不用申請任何特權。真不知道微軟的開發人員是怎麼想的，可能是訪問註冊表太普遍了。

【指令碼也有GUI】
雖然系統提供了WScript和CScript兩個指令碼宿主，分別負責視窗環境和命令列環境下的指令碼運行，但實際上視窗環境下使用者與指令碼互動不太方便：參數輸入只能建立捷徑或彈出InputBox對話方塊，輸出資訊後只有在使用者“確定”後才能繼續運行。完全沒有了視窗環境直觀、快捷的優勢。好在有前面提到的InternetExplorer對象，指令碼可以提供web風格的GUI。

還是來看個例子，一個清除系統日誌的指令碼，順便複習一下WMI： 複製代碼 代碼如下:set ie=wscript.createobject("internetexplorer.application","event_") '建立ie對象'
ie.menubar=0 '取消功能表列'
ie.addressbar=0 '取消地址欄'
ie.toolbar=0 '取消工具列'
ie.statusbar=0 '取消狀態列'
ie.width=400 '寬400'
ie.height=400 '高400'
ie.resizable=0 '不允許使用者改變視窗大小'
ie.navigate "about"&":blank" '開啟空白頁面'
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2) '水平置中'
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) '垂直置中'
ie.visible=1 '視窗可見'

with ie.document '以下調用document.write方法，'
.write "<html><body bgcolor=#dddddd scroll=no>" '寫一段html到ie視窗中。'
.write "<h2 align=center>遠程清除系統日誌</h2><br>"
.write "<p>目標IP：<input id=ip type=text size=15>" '也可以用navigate方法直接開啟一'
.write "<p>使用者名稱：<input id=user type=text size=30>" '個html檔案，效果是一樣的。'
.write "<p>密碼：　<input id=pass type=password size=30>"
.write "<p align=center>類型：" '不僅是input對象，所有DHTML支援'
.write "<input id=app type=checkbox>應用程式 " '的對象及其屬性、方法都可以使用。'
.write "<input id=sys type=checkbox>系統 "
.write "<input id=sec type=checkbox>安全" '訪問這些對象的辦法和網頁中訪問'
.write "<p align=center><br>" '架構內對象是類似的。'
.write "<input id=confirm type=button value=確定> "
.write "<input id=cancel type=button value=取消>"
.write "</body></html>"
end with

dim wmi '顯式定義一個全域變數'
set wnd=ie.document.parentwindow '設定wnd為視窗對象'
set id=ie.document.all '設定id為document中全部對象的集合'
id.confirm.onclick=getref("confirm") '設定點擊"確定"按鈕時的處理函數'
id.cancel.onclick=getref("cancel") '設定點擊"取消"按鈕時的處理函數'

do while true '由於ie對象支援事件，所以相應的，'
wscript.sleep 200 '指令碼以無限迴圈來等待各種事件。'
loop

sub event_onquit 'ie退出事件處理過程'
wscript.quit '當ie退出時，指令碼也退出'
end sub

sub cancel '"取消"事件處理過程'
ie.quit '調用ie的quit方法，關閉IE視窗'
end sub '隨後會觸發event_onquit，於是指令碼也退出了'

sub confirm '"確定"事件處理過程，這是關鍵'
with id
if .ip.value="" then .ip.value="." '空ip值則預設是對本地操作'
if not (.app.checked or .sys.checked or .sec.checked) then 'app等都是checkbox，通過檢測其checked'
wnd.alert("至少選擇一種日誌") '屬性，來判斷是否被選中。'
exit sub
end if
set lct=createobject("wbemscripting.swbemlocator") '建立伺服器定位對象'
on error resume next '使指令碼宿主忽略非致命錯誤'
set wmi=lct.connectserver(.ip.value,"root/cimv2",.user.value,.pass.value) '串連到root/cimv2名字空間'
if err.number then '自己捕捉錯誤並處理'
wnd.alert("串連WMI伺服器失敗") '這裡只是簡單的顯示“失敗”'
err.clear
on error goto 0 '仍然讓指令碼宿主處理全部錯誤'
exit sub
end if
if .app.checked then clearlog "application" '清除每種選中的日誌'
if .sys.checked then clearlog "system"
if .sec.checked then clearlog "security" '注意，在XP下有限制，不能清除安全日誌'
wnd.alert("日誌已清除")
end with
end sub

sub clearlog(name)
wql="select * from Win32_NTEventLogFile where logfilename='"&name&"'"
set logs=wmi.execquery(wql) '注意，logs的成員不是每條日誌，'
for each l in logs '而是指定日誌的檔案對象。'
if l.cleareventlog() then
wnd.alert("清除日誌"&name&"時出錯！")
ie.quit
wscript.quit
end if
next
end sub

總結一下整個過程。首先是建立internetexplorer.application對象。其直接的效果是啟動了一個iexplorer進程，但視窗是不可見的，直到設定了ie.visible=1。然後用document.write方法將html語句寫到ie視窗中。對於複雜的介面，可以將html代碼儲存為一個html檔案，用ie.navigate(filename)開啟。最後是響應視窗中的輸入。這基本上屬於DHTML的知識範疇。

與一般指令碼編程最大的不同之處，在於ie是事件驅動的。你所要做的，就是設定好相應的事件處理函數/過程。
在本例中，指令碼只關心3個事件：ie退出，"確定"按鈕被點擊，"取消"按鈕被點擊。

注意，例子中只有兩句設定事件處理過程的語句，沒有定義ie退出事件與event_onquit過程關聯。這是因為這裡用到一個特性——建立ie對象時的第二個參數"event_"是一個首碼，ie對象的事件處理過程名是該首碼加事件名。所以onquit事件的處理過程預設就是event_onquit。

當點擊"確定"按鈕後，confirm過程被調用。例子中示範了如何訪問ie中的對象，比如ie.document.all.ip.value就是在"目標IP"文字框中的輸入。如果選中"應用程式"這個checkbox，那麼ie.document.all.app.checked的值是true，否則是false。想調用alert方法，則用ie.document.parentwindow.alert。其他各種ie內對象的存取方法完全是類似的。具體的可以看DHTML相關資料。

有了web介面，互動就變得豐富多彩了。大家可以充分發揮創意。

比如，很多GUI工具(比如流光)啟動時，有一個logo頁，顯示著作權等資訊。我們用ie對象也可以類比一個出來： 複製代碼 代碼如下:set ie=wscript.createobject("internetexplorer.application")
ie.fullscreen=1
ie.width=300
ie.height=150
ie.navigate "about"&":blank"
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2)
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2)
ie.document.write "<body bgcolor =skyblue scroll=no><br><br>"&_
"<h2 align=center>這是一個Logo</h2></body>"
ie.visible=1
wscript.sleep 5000
ie.quit

上面這段代碼執行後，將在螢幕中央顯示一個連標題列和邊框都沒有的ie視窗，持續5秒。
視窗裡是藍底黑字的“這是一個Logo”。

指令碼GUI化之後，與使用者的互動更直觀。像Nmap那樣有很多參數的工具，在本地使用時，寫一個圖形介面的“介面”就一勞永逸了。輸出的結果也可以用指令碼處理，以更適合閱讀的方式顯示，就像流光等工具能產生html掃描報告那樣。