【目錄】

1，前言

2，回顧WSH對象

3，WMI服務

4，腳本也有GUI

5，反查殺

6，來做個后門

7，結語

8，參考資料

【前言】

本文講述一些Windows腳本編程的知識和技巧。這里的Windows腳本是指"Windows Script Host"(WSH Windows腳本宿主)，而不是HTML或ASP中的腳本。前者由Wscript或Cscript解釋，后兩者分別由IE和IIS負責解釋。描述的語言是VBScript。本文假設讀者有一定的Windows腳本編程的基礎。如果你對此還不了解，請先學習《Windows腳本技術》[1]。

【回顧WSH對象】

得益于com技術的支持，WSH能提供比批處理(.bat)更強大的功能。說白了，wsh不過是調用現成的“控件”作為一個對象，用對象的屬性和方法實現目的。

常用的對象有：

WScript

Windows腳本宿主對象模型的根對象，要使用WSH自然離不開它。它提供多個子對象，比如WScript.Arguments和WScript.Shell。前者提供對整個命令行參數集的訪問，后者可以運行程序、操縱注冊表內容、創建快捷方式或訪問系統文件夾。

Scripting.FileSystemObject

主要為IIS設計的對象，訪問文件系統。這個恐怕是大家遇到最多的對象了，因為幾乎所有的Windows腳本病毒都要通過它復制自己感染別人。

ADODB.Stream

ActiveX Data Objects數據庫的子對象，提供流方式訪問文件的功能。這雖然屬于數據庫的一部分，但感謝微軟，ADO是系統自帶的。

Microsoft.XMLHTTP

為支持XML而設計的對象，通過http協議訪問網絡。常用于跨站腳本執行漏洞和SQL injection。

還有很多不常見的：

活動目錄服務接口(ADSI)相關對象 ―― 功能涉及范圍很廣，主要用于Windows域管理。

InternetExplorer對象 ―― 做IE能做的各種事。

Word，Excel，Outlook對象 ―― 用來處理word文檔，excel表單和郵件。

WBEM對象 ―― WBEM即Web-Based Enterprise Management。它為管理Windows提供強大的功能支持。下一節提到的WMI服務提供該對象的接口。

很顯然，WSH可以利用的對象遠遠不止這些。本文掛一漏萬，談一些較實用的對象及其用法。

先看一個支持斷點續傳下載web資源的例子，它用到了上面說的4個常用對象。

if (lcase(right(wscript.fullname,11))="wscript.exe") then      '判斷腳本宿主的名稱'

   die("Script host must be CScript.exe.")                     '腳本宿主不是CScript，于是就die了'

end if

if wscript.arguments.count<1 then                              '至少要有一個參數'

   die("Usage: cscript webdl.vbs url [filename]")              '麻雀雖小五臟俱全，Usage不能忘'

end if

url=wscript.arguments(0)                                       '參數數組下標從0開始'

if url="" then die("URL can't be null.")                       '敢唬我，空url可不行'

if wscript.arguments.count>1 then                              '先判斷參數個數是否大于1'

   filename=wscript.arguments(1)                               '再訪問第二個參數'

else                                                           '如果沒有給出文件名，就從url中獲得'

   t=instrrev(url,"/")                                         '獲得最后一個"/"的位置'

   if t=0 or t=len(url) then die("Can not get filename to save.")    '沒有"/"或以"/"結尾'

   filename=right(url,len(url)-t)                              '獲得要保存的文件名'

end if

if not left(url,7)="http://"&url            '如果粗心把“http://”忘了，加上'

set fso=wscript.createobject("Scripting.FileSystemObject")     'FSO，ASO，HTTP三個對象一個都不能少'

set aso=wscript.createobject("ADODB.Stream")

set http=wscript.createobject("Microsoft.XMLHTTP")

if fso.fileexists(filename) then                               '判斷要下載的文件是否已經存在'

   start=fso.getfile(filename).size                            '存在，以當前文件大小作為開始位置'

else

   start=0                                                     '不存在，一切從零開始'

   fso.createtextfile(filename).close                          '新建文件'

end if

wscript.stdout.write "Connectting..."                          '好戲剛剛開始'

current=start                                                  '當前位置即開始位置'

do

   http.open "GET",url,true                                    '這里用異步方式調用HTTP'

   http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) '斷點續傳的奧秘就在這里'

   http.setrequestheader "Content-Type:","application/octet-stream"

   http.send                                                   '構造完數據包就開始發送'

   for i=1 to 120                                              '循環等待'

      if http.readystate=3 then showplan()                     '狀態3表示開始接收數據，顯示進度'

      if http.readystate=4 then exit for                       '狀態4表示數據接受完成'

      wscript.sleep 500                                        '等待500ms'

   next

   if not http.readystate=4 then die("Timeout.")               '1分鐘還沒下完20k？超時！'

   if http.status>299 then die("Error: "&http.status&" "&http.statustext) '不是吧，又出錯？'

   if not http.status=206 then die("Server Not Support Partial Content.") '服務器不支持斷點續傳'

   aso.type=1                                                  '數據流類型設為字節'

   aso.open

   aso.loadfromfile filename                                   '打開文件'

   aso.position=start                                          '設置文件指針初始位置'

   aso.write http.responsebody                                 '寫入數據'

   aso.savetofile filename,2                                   '覆蓋保存'

   aso.close

   range=http.getresponseheader("Content-Range")               '獲得http頭中的"Content-Range"'

   if range="" then die("Can not get range.")                  '沒有它就不知道下載完了沒有'

   temp=mid(range,instr(range,"-")+1)                          'Content-Range是類似123-456/789的樣子'

   current=clng(left(temp,instr(temp,"/")-1))                  '123是開始位置，456是結束位置'

   total=clng(mid(temp,instr(temp,"/")+1))                     '789是文件總字節數'

   if total-current=1 then exit do                             '結束位置比總大小少1就表示傳輸完成了'

   start=start+20480                                           '否則再下載20k'

loop while true

wscript.echo chr(13)&"Download ("&total&") Done."              '下載完了，顯示總字節數'

function die(msg)                                              '函數名來自Perl內置函數die'

wscript.echo msg                                               '交代遺言^_^'

wscript.quit                                                   '去見馬克思了'

end function

function showplan()                                            '顯示下載進度'

if i mod 3 = 0 then c="/"                                      '簡單的動態效果'

if i mod 3 = 1 then c="-"

if i mod 3 = 2 then c="""

wscript.stdout.write chr(13)&"Download ("&current&") "&c&chr(8)'13號ASCII碼是回到行首，8號是退格'

end function

可以看到，http控件的功能是很強大的。通過對http頭的操作，很容易就實現斷點續傳。例子中只是單線程的，事實上由于http控件支持異步調用和事件，也可以實現多線程下載。在MSDN里有詳細的用法。至于斷點續傳的詳細資料，請看RFC2616。

FSO和ASO都可以訪問文件，他們有什么區別呢？其實，ASO除了在訪問字節（非文本）數據有用外，就沒有存在的必要了。如果想把例子中的ASO用FSO來實現，那么寫入http.responsebody的時候會出錯。反之也不行，ASO無法判斷文件是否存在。如果文件不存在，loadfromfile就直接出錯，沒有改正的機會。當然，可以用on error resume next語句讓腳本宿主忽略非致命錯誤，自己捕捉并處理。但有現成的fileexists()為什么不用呢？

另外，由于FSO經常被腳本病毒和ASP木馬利用，所以管理員可能會在注冊表中修改該控件的信息，使腳本無法創建FSO。其實執行一個命令regsvr32 /s scrrun.dll就恢復了。即使scrrun.dll被刪除，自己復制一個過去就行。

熱身完之后，下面我們來看一個功能強大的對象――WBEM（由WMI提供）。

【WMI服務】

先看看MSDN里是怎么描述WMI的――Windows 管理規范 (WMI) 是可伸縮的系統管理結構，它采用一個統一的、基于標準的、可擴展的面向對象接口。我在剛開始理解WMI的時候，總以為WMI是"Windows管理接口"(Interface)，呵呵。

再看什么是WMI服務――提供共同的界面和對象模式以便訪問有關操作系統、設備、應用程序和服務的管理信息。如果此服務被終止，多數基于Windows的軟件將無法正常運行。如果此服務被禁用，任何依賴它的服務將無法啟動。

看上去似乎是個很重要的服務。不過，默認情況下并沒有服務依賴它，反而是它要依賴RPC和EventLog服務。但它又是時常用到的。我把WMI服務設置為手動啟動并停止，使用電腦一段時間，發現WMI服務又啟動了。被需要就啟動，這是服務設置為“手動”的特點。當我知道WMI提供的管理信息有多龐大后，對WMI服務的自啟動就不感到奇怪了。

想直觀了解WMI的復雜，可以使用WMITools.exe[2]這個工具。這是一個工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象，其復雜程度不亞于注冊表。更重要的是，WMI還提供動態信息，比如當前進程、服務、用戶等。

WMI的邏輯結構是這樣的：

首先是WMI使用者，比如腳本（確切的說是腳本宿主）和其他用到WMI接口的應用程序。由WMI使用者訪問CIM對象管理器WinMgmt（即WMI服務），后者再訪問CIM(公共信息模型Common Information Model)儲存庫。靜態或動態的信息（對象的屬性）就保存在CIM庫中，同時還存有對象的方法。一些操作，比如啟動一個服務，通過執行對象的方法實現。這實際上是通過COM技術調用了各種dll。最后由dll中封裝的API完成請求。

WMI是事件驅動的，操作系統、服務、應用程序、設備驅動程序等都可作為事件源，通過COM接口生成事件通知。WinMgmt捕捉到事件，然后刷新CIM庫中的動態信息。這也是為什么WMI服務依賴EventLog的原因。

說完概念，我們來看看具體如何操作WMI接口。

下面這個例子的代碼來自我寫的腳本RTCS。它是遠程配置telnet服務的腳本。

這里只列出關鍵的部分：

首先是創建對象并連接服務器：

set objlocator=createobject("wbemscripting.swbemlocator")

set objswbemservices=objlocator.connectserver(ipaddress,"rootdefault",username,password)

第一句創建一個服務定位對象，然后第二句用該對象的connectserver方法連接服務器。

除了IP地址、用戶名、密碼外，還有一個名字空間參數rootdefault。

就像注冊表有根鍵一樣，CIM庫也是分類的。用面向對象的術語來描述就叫做“名字空間”(Name Space)。

由于RTCS要處理NTLM認證方式和telnet服務端口，所以需要訪問注冊表。而操作注冊表的對象在rootdefault。

set objinstance=objswbemservices.get("stdregprov")      '實例化stdregprov對象'

set objmethod=objinstance.methods_("SetDWORDvalue")     'SetDWORDvalue方法本身也是對象'

set objinparam=objmethod.inparameters.spawninstance_()  '實例化輸入參數對象'

objinparam.hdefkey=&h80000002                           '根目錄是HKLM，代碼80000002(16進制)'

objinparam.ssubkeyname="SOFTWAREMicrosoftTelnetServer1.0"   '設置子鍵'

objinparam.svaluename="NTLM"           '設置鍵值名'

objinparam.uvalue=ntlm                 '設置鍵值內容，ntlm是變量，由用戶輸入參數決定'

set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) '執行方法'

然后設置端口

objinparam.svaluename="TelnetPort"

objinparam.uvalue=port                 'port也是由用戶輸入的參數'

set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)

看到這里你是不是覺得有些頭大了呢？又是名字空間，又是類的實例化。我在剛開始學習WMI的時候也覺得很不習慣。記得我的初中老師說過，讀書要先把書讀厚，再把書讀薄。讀厚是因為加入了自己的想法，讀薄是因為把握要領了。

我們現在就把書讀薄。上面的代碼可以改為：

set olct=createobject("wbemscripting.swbemlocator")

set oreg=olct.connectserver(ip,"rootdefault",user,pass).get("stdregprov")

HKLM=&h80000002

out=oreg.setdwordvalue(HKLM,"SOFTWAREMicrosoftTelnetServer1.0","NTLM",ntlm)

out=oreg.setdwordvalue(HKLM,"SOFTWAREMicrosoftTelnetServer1.0","TelnetPort",port)

現在是不是簡單多了？

接著是對telnet服務狀態的控制。

set objswbemservices=objlocator.connectserver(ipaddress,"rootcimv2",username,password)

set colinstances=objswbemservices.execquery("select * from win32_service where ")

這次連接的是rootcimv2名字空間。然后采用wql(sql for WMI)搜索tlntsvr服務。熟悉sql語法的一看就知道是在做什么了。這樣得到的是一組Win32_Service實例，雖然where語句決定了該組總是只有一個成員。

為簡單起見，假設只要切換服務狀態。

for each objinstance in colinstances

   if objinstance.started=true then              '根據started屬性判斷服務是否已經啟動'

      intstatus=objinstance.stopservice()        '是，調用stopservice停止服務'

   else

      intstatus=objinstance.startservice()       '否，調用startservice啟動服務'

   end if

next

關鍵的代碼就是這些了，其余都是處理輸入輸出和容錯的代碼。

總結一下過程：

1，連接服務器和合適的名字空間。

2，用get或execquery方法獲得所需對象的一個或一組實例。

3，讀寫對象的屬性，調用對象的方法。

那么，如何知道要連接哪個名字空間，獲得哪些對象呢？《WMI技術指南》[3]中分類列出了大量常用的對象。可惜它沒有相應的電子書，你只有到書店里找它了。你也可以用WMITools里WMI CIM Studio這個工具的搜索功能，很容易就能找想要的對象。找到對象后，WMI CIM Studio能列出其屬性和方法，然后到MSDN里找具體的幫助。而應用舉例，除了我寫的7個RS系列腳本，還有參考資料[4]。

需要特別說明的是，在參考資料[4]中，連接服務器和名字空間用的是類似如下的語法：

Set objWMIService=GetObject("winmgmts:{impersonationLevel=impersonate}!/"&strComputer&"ootcimv2:Win32_Process")

詳細的語法在《WMI技術指南》和MSDN中有介紹，但我們不關心它，因為這種辦法沒有用戶名和密碼參數。 因此，只有在當前用戶在目標系統（含本地）有登陸權限的情況下才能使用。而connectserver如果要本地使用，第一個參數可以是127.0.0.1或者一個點"."，第3、4個參數都是空字符串""。

最后，訪問WMI還有一個“特權”的問題。如果你看過ROTS的代碼，你會發現有兩句“奇怪”的語句：

objswbemservices.security_.privileges.add 23,true

objswbemservices.security_.privileges.add 18,true

這是在向WMI服務申請權限。18和23都是權限代號。下面列出一些重要的代號：

5 在域中創建帳戶

7 管理審計并查看、保存和清理安全日志

9 加載和卸載設備驅動

10 記錄系統時間

11 改變系統時間

18 在本地關機

22 繞過歷遍檢查

23 允許遠程關機

詳細信息還是請看《WMI技術指南》或MSDN。

所有特權默認是沒有的。我在寫RCAS時，因為忘了申請特權11，結果一直測試失敗，很久才找到原因。

只要有權限連接WMI服務，總能成功申請到需要的特權。這種特權機制，只是為了約束應用程序的行為，加強系統穩定性。有點奇怪的是，訪問注冊表卻不用申請任何特權。真不知道微軟的開發人員是怎么想的，可能是訪問注冊表太普遍了。