VBS编程打造自己的病毒专杀工具

VBS病毒应该来说还是挺流行的，其力量不可小觑啊！用VBS写一只普通病毒（蠕虫）没有什么难度，写病毒专杀工具也是没什么难度的。但在写出专杀工具前必须了解你要杀的这只病毒的一些信息……比如：病毒释放的文件，感染的文件，注册表与进程里的病毒信息等等。

一、首先来看如何结束病毒进程，之前我在《两个简易VBS脚本结束进程与防止进程启动》给出了关于进程的一些操作方法。假如要结束的病毒进程为rund1132.exe（32之前是两个数字1），看下面代码：

set w=getobject("winmgmts:")??'创建WMI对象，执行后面的查询。

set p=w.execquery("select * from win32_process where name='rund1132.exe'")

for each i in p

i.terminate

next

二、双击执行这段代码就可以结束rund1132.exe进程，这为后面的杀毒提供方便。病毒进程一被结束就要马上将其文件给删掉！假如病毒相关文件为c:\windows\rund1132.exe与c:\windows\system32\explorer.exe，它们皆为隐藏文件。看下面代码：

set fso=createobject("scripting.filesystemobject") '创建fso对象，此对象以后介绍……

set v1=fso.getfile("c:\windows\rund1132.exe")

set v2=fso.getfile("c:\windows\system32\explorer.exe")

v1.attributes=0 '设置文件为正常属性值，即隐藏文件就被还原成正常文件了！

v2.attributes=0 '当病毒文件多时，可以使用for语句。

fso.deletefile("c:\windows\rund1132.exe")

fso.deletefile("c:\windows\system32\explorer.exe")

执行这段代码，病毒文件就被Killed了……删除病毒的感染文件也是创建fso对象，然后进行盘符、文件夹、文件遍历查找，使用ext=lcase(fso.GetExtensionName(file)

)这样的表达式来获取所有文件的后缀，最后将ext值与被已知感染文件的后缀（比如.exe）进行判断，如果为真则删除此此文件……思路给出了，代码有点长有点复杂就不黏贴上来了。其实如果有可能去分析“爱虫VBS病毒”的代码，就会发现它在感染文件时使用的正是这样的遍历、后缀判别的方法……

三、注册表是关键。有些病毒是很变态的，将系统的许多功能都给禁用了，还往注册表里塞一大堆垃圾信息……它要是把WSH（windows脚本宿主）给禁用了或破坏了那我们辛辛苦苦写的VBS专杀工具就没法使用了，我感觉VBS写出来的专杀是有一定的局限性的……不过对付不这么变态的病毒还是可以的！

比如：此病毒禁用了“任务管理器”、然后在注册表中添加下面的值来实现开机自启动"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run","c:\windows\rund1132.exe"。如何修复？看下面代码：

set reg=wscript.createobject("wscript.shell") '创建wscript对象，进行下面的注册表操作！

'reg.regwrite恢复禁用的任务管理器

reg.regwrite

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"

'reg,regdelete删除病毒的自启动项

reg.regdelete

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run"

到此用VBS打造自己的病毒专杀工具就有成形了，框架就是这样。根据不同的病毒特征写出不同的专杀工具。