VBS腳本偽造日志

ha0k

1.利用腳本偽造日志

set ws=wscript.createobject("Wscript.shell")

ws.logevent 0 ,"write log success" '創(chuàng)建一個成功執(zhí)行日志

將上面的代碼保存為createlog.vbs即可。 這段代碼很容易理解， 首先獲得wscript的一個shell對象， 然后利用shell對象的 logevent方法。 logevent的用法：logevent eventtype,"description" [, remote system]， 其中eventtype為日志類型， 可以使用的參數(shù)如下：0代表成功執(zhí)行， 1執(zhí)行出錯， 2警告， 4信息， 8成功審計， 16 故障審計。 所以上面代碼中， 把0改為1,2,4,8,16均可， 引號中的內(nèi)容為日志描述。 利用這種方法寫的日志有一個缺點， 即只能寫到應(yīng)用程序日志， 而且 日志來源只能為WSH， 即Windows Scripting Host， 所以不能起太多的隱蔽作用， 在此僅供大家參考。

2.執(zhí)行外部程序

DIM objShell

set objShell=wscript.createObject("wscript.shell")

iReturn=objShell.Run("cmd.exe /C set var=world", 1, TRUE)

保存為.vbs文件即可。 在這段代碼中， 我們首先設(shè)置了一個環(huán)境變量， 其名為var， 而值為world， 用戶可以使用%Comspec%來代替cmd.exe， 并且可以把命令：set var=world改成其它的命令， 這樣就可以使它可以運行任意的命令。