V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fuxkcsdn
V2EX  ›  问与答

VBS 不熟,求帮忙解密 VBS 脚本

  •  
  •   fuxkcsdn · 2017-03-12 00:34:25 +08:00 · 1913 次点击
    这是一个创建于 2851 天前的主题,其中的信息可能已经有所发展或是发生改变。
    婚纱拍摄公司给的 U 盘中有这个脚本,被 微软自带的杀毒软件报
    Worm:VBS/Pordeezy.A

    原始文件( Microsoft Word.WsF )压缩上传到这个连接
    https://pan.baidu.com/s/1geFaQQZ

    他们把 U 盘中的文件夹都通过这脚本隐藏了,即使开启了显示隐藏文件,在资源管理库里也看不到文件夹,就只看得到同名的 lnk 快捷方式,然后通过点击该快捷方式打开该目录或文件,但在 CMD 中是看得到的
    直接在资源管理器打开对应的目录或文件路径也是可以进入的

    目录结构如下:
    D:\
    -------Microsoft Word.WsF(隐藏属性)
    -------AAA.lnk
    -------AAA.mp4
    -------BBB.lnk
    <DIR>BBB
    --------------001.jpg
    ....
    --------------101.jpg
    -------CCC.lnk
    <DIR>CCC
    --------------001.jpg
    ....
    --------------200.jpg

    P.S. 原本在他们那边看的时候看到是 lnk 就感觉怪怪的,但想说是他们的电脑也就算了,想说回来用 CMD 进去看个究竟先
    哪曾想到...妹子回来后直接插电脑就双击了...
    第 1 条附言  ·  2017-03-12 16:53:23 +08:00

    通过把 Execute 函数替换成 WScript.Echo 然后用命令行

    cscript \\Nologo \SCRIPT\PATH > D:\script.txt
    

    把解密后的脚本输出 这脚本3重加密...解密后看了下,是定期从远程获取命令然后执行的脚本,然而...服务器貌似都挂掉了... 附解密并格式化后的脚本

    https://pan.baidu.com/s/1bJUHaA

    3 条回复    2017-03-12 16:47:25 +08:00
    kokutou
        1
    kokutou  
       2017-03-12 07:51:21 +08:00 via Android
    我感觉。。把
    FUnction:Execute(HIO(
    这个替换成打印或者文件输出,运行下就能解密了 。。。
    vbs 很简单的,稍微查一查就能搞懂。
    szlytlyt
        2
    szlytlyt  
       2017-03-12 08:45:55 +08:00 via Android
    你看看是不是文件属性被加上了系统文件属性,去掉就好了
    fuxkcsdn
        3
    fuxkcsdn  
    OP
       2017-03-12 16:47:25 +08:00
    @kokutou 嗯...用 WScript.Echo 替换掉,然后输出到文件解密了

    @szlytlyt 果然...昨天没仔细看隐藏系统文件的选项被勾选了...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1069 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:38 · PVG 03:38 · LAX 11:38 · JFK 14:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.