ha0k
1.利用脚本伪造日志
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" '创建一个成功执行日志
将上面的代码保存为createlog.vbs即可。 这段代码很容易理解, 首先获得wscript的一个shell对象, 然后利用shell对象的 logevent方法。 logevent的用法:logevent eventtype,"description" [, remote system], 其中eventtype为日志类型, 可以使用的参数如下:0代表成功执行, 1执行出错, 2警告, 4信息, 8成功审计, 16 故障审计。 所以上面代码中, 把0改为1,2,4,8,16均可, 引号中的内容为日志描述。 利用这种方法写的日志有一个缺点, 即只能写到应用程序日志, 而且 日志来源只能为WSH, 即Windows Scripting Host, 所以不能起太多的隐蔽作用, 在此仅供大家参考。
2.执行外部程序
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C set var=world", 1, TRUE)
保存为.vbs文件即可。 在这段代码中, 我们首先设置了一个环境变量, 其名为var, 而值为world, 用户可以使用%Comspec%来代替cmd.exe, 并且可以把命令:set var=world改成其它的命令, 这样就可以使它可以运行任意的命令。
……