今日在卡饭论坛病毒样本看到一个声称可以过许多杀软的7个lnk病毒样本（http://bbs.kafan.cn/thread--1-1.html），下载回来瞧了瞧，没有扩展名，用记事本打开看了，是VBS写的，7个样本都是同一个方式写的，以是剖析了一个，随便打开了一个，代码如下： frdf=array(,,,,,,,,,,,, ,,,,,,,,,,,,,, ,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,, ,,,,,,,,,,,,)for i=1 to UBound(frdf) runner=runneramp;chr(frdf(i)-)nextExecute runner 很简单的逃过杀毒软件方式嘛，把程序改成VBS来逃杀软。首先界说一个数组，就是那堆数字，然后数组每个数再减去后，转成字符型，获得机器码形式的，最后用execute执行它。 我把文件加了个.vbs后缀，然后打开防火墙举行监控，看病毒做了些什么，运行文件，防火墙有反映了，在启动里创建了文件，位于c:\windows\help中，打开c:\windows\help时并没有看到这两个文件，文件属性改成了系统属性的，在CMD执行attrib c:\windows\help\***，返回结果是SH，S代表系统属性，H代表隐藏属性，再执行attrib -s -h c:\windows\help\***，去掉属性，这时可以在目录看到那两个文件了，PE查了下，加了壳的，OD载入进去，壳很新鲜。其他的都是这个思绪，没什么好剖析的了。