網絡的流行，讓我們的世界變得更加美好，但它也有讓人不愉快的時候。比如，當你收到一封主題為“I Love You”的郵件，興沖沖的雙擊附件想欣賞一下這封“情書”的時候，卻在無意當中成為了病毒的受害者和傳播者；或者在瀏覽某個網頁的時候，瀏覽器標題欄就變成了類似“歡迎光臨……”，而默認主頁也被修改，并且自己的注冊表莫名其妙的被“鎖定”了，即當我們運行“regedit.exe”時，系統彈出一個諸如：“注冊表已被管理員所禁用，請找系統管理員聯系……”等等字樣；更有甚者，聽說瀏覽網頁時，自己的硬盤還可能會被悄悄格式化……太可怕了！真有這樣的事嗎？

當然是真的，不信，那你敢接著往下看嗎？。

其實這個愛蟲病毒（“I Love You”的郵件）和那些惡意破壞你系統的網頁并不可怕，它們都是由幾句并不復雜的VB Script代碼編寫而成的，只要你弄清楚其中的道理，就自然會有應付它們的辦法，那時候你還會擔心它們嗎？本文就對破壞系統的網頁“黑手”加以分析，并給出防范和修復方法，讓大家都能過上“平安幸福的生活”。

說道VB Script，還得從WSH說起。

一、什么是WSH？

WSH是Windows Scripting Host（Windows腳本主機）的縮略形式。WSH這個概念最早出現于Windows 98操作系統，是一個基于32 位 Windows 平臺、并獨立于語言的腳本運行環境。比如：你自己編寫了一個腳本文件，如后綴為 .vbs 或 .js 的文件，然后在 Windows 下雙擊并執行它，這時，系統就會自動調用一個適當的程序來對它進行解釋并執行，而這個程序，就是 Windows Scripting Host，程序執行文件名為 Wscript.exe （若是在DOS命令提示符下，則為 Cscript.exe）。

想知道自己的機器上有沒有WSH嗎？查看一下你的機器里有沒有“Wscipt.exe”或者“Cscript.exe”這兩個文件就可以了。如果找到，恭喜你！你已經安裝了WSH。否則，自己手動安裝吧：

在Windows 98環境下，WSH是作為操作系統的一個組件自動安裝的，如果不慎丟失了這個組件，可以從依次打開“控制面板-->添加/刪除程序--〉Windows安裝程序--〉附件”,然后將“Windows Scripting Host”前的劃上“√”，再確定即可完成WSH組件的安裝。

二、腳本語言與WSH的關系

大家知道，腳本語言（包括JavaScript和VBscript語言等）經常會被植入網頁之中（其中包括 HTML 頁面客戶機端和 ASP 頁面服務器端）。對于植入 HTML 頁面的腳本，其所需的解析引擎會由 IE 這樣的網頁瀏覽器載入；對于植入 ASP 頁面的腳本，其所需的解析引擎會由 IIS（Internet Information Services）提供。而對于出現在 HTML 和 ASP 頁面之外的腳本（它們常以獨立的文件形式存在），就需要經由 WSH 來處理了。需要說明的是：WSH 要想正常工作，還要安裝IE 3.0 或更高版本的 IE，因為 WSH 在工作時會調用 IE 中的 VBScript 和 JavaScript　解析引擎。 [未結束][iduba_page]在這些被植于網頁的腳本語言中，絕大多數是與網絡安全無關的。但也有少數別有用心的好事者，把一些嚴重危及網絡安全的代碼（我們常常稱之為“惡意代碼”，他們通常都要通過修改注冊表達到“惡意”的目的！），混放在正常的腳本之中，常常讓我們防不勝防。但是，如果我們了解一點關于腳本語言的知識，這些“伎倆”都是非常容易識破的。還是讓我們從幾個簡單的實例開始吧……

三、WSH應用舉例

WSH可以處理腳本程序，怎樣閱讀和編寫WSH的腳本源文件呢？只要你有一點Basic（會VB的編程更好，呵呵）語言的基礎，學會看懂WSH腳本語言的程序并不是一件難事。去C:WINDOWSSAMPLESWSH目錄以下將看看吧！里面提供了幾類經典的腳本例子，而且分別提供了VBScript和JavaScript兩個版本，我們只要用記事本打開它們并仔細研究就不難學到一些基本的WSH應用。

你只需在記事本中依次輸入以下每個實例中的代碼，并保存為相應的“*.vbs”文件，雙擊這個文件，你就可以看到相應的效果了。

〖實例一〗效果:彈出對話框窗口“歡迎共同學習WSH”。

WScript.Echo(“歡迎共同學習WSH”)

〖實例二〗效果:在D盤根目錄下建立二十個新文件夾。

dim objdir

set objdir=WScript.Createobject('Scripting.filesystemobject')

for k=1 to 20

sNewFolder='d:WSHsample' & k　‘給新的文件夾命名

objdir.Createfolder(sNewFolder)

next

〖實例三〗效果：使用 Windows Scripting Host 在c:創建一個文本文件testfile.txt

‘text.vbs　這是本文件的文件名

Set RegWsh = Wscript.CreateObject('Wscript.Shell')

RegWsh.Run ('notepad ' & Wscript.ScriptFullName)

‘上面用SHELL對象啟動程序

Set fs = Wscript.CreateObject('Scripting.FileSystemObject')

Set a = fs.CreateTextFile('c:testfile.txt', True)

a.WriteLine('這只是一次測試。請檢查你的機器的c:是否有testfile.txt文件出現？')

a.Close

很簡單，是吧？呵呵，是的。只要你有一點點程序設計的基礎，看懂以上幾個實例中的代碼是非常容易的，你也可以試著編制一些類似的“腳本”實例了……

然而，正是因為腳本編程的門檻低，容易上手，所以在給我們的生活帶來方便和高效的同時，也為少數“不法分子”提供了可乘之機。常見的惡意代碼有什么特征呢？最根本的一條就是對系統注冊表的訪問。怎樣利用腳本訪問注冊表？ [未結束][iduba_page]四、用VBScript腳本訪問注冊表

用VBScript或者Javascript都可以編寫腳本程序。鑒于VBscript語言更接近VB，相信有更多的朋友都是從BASIC語言開始學編程的。所以本文不想介紹Javascript，而重點介紹VBscript。用VBscript編寫的WSH程序文件的擴展名為.vbs，該腳本程序在圖形界面下是由wscript.exe文件解釋執行的，一般直接雙擊.vbs文件即可由系統自動調用wscript.exe進行解釋并執行。在字符界面（DOS方式）下則是由cscript.exe文件解釋執行的,命令格式為：cscript filename.vbs。先來看看幾個相關的操作和方法：

1、創建對象

用VBScript訪問注冊表，必須先創建一個能與操作系統溝通的對象,再利用該對象的各種方法對注冊表進行操作,創建這個對象的方法和格式如下:

Set 對象變量名=WScript.CreateObject('WScript.Shell')

如：Set regwsh=WScript.CreateObject('WScript.Shell') 就可以創建一個名為“regwsh”的對象。

2、該對象常用的方法

有了以上這個對象，還要借助它的幾個重要的方法，才能達到訪問注冊表的目的。常用的方法有：

①讀注冊表鍵值的操作RegRead

格式：object.RegRead(路徑參數)

②創建/修改注冊表鍵值的操作RegWrite

格式：RegWrite 路徑參數, 值 [,值類型]

說明：當被操作的“路徑參數”不存在時，創建該主鍵或鍵值；反之，則修改原有的鍵值。

③刪除注冊表鍵值的操作RegDelete

格式：RegDelete 路徑參數

3、關于路徑參數的說明

該路徑參數指出了操作的對象。它由根鍵、主鍵路徑和鍵值三部分組成,各部分表示的方法如下:

①根鍵

根鍵有兩種表示方法：縮寫形式（short）和完整形式（Long）。相互的對應關系為：

Short Long

HKCU HKEY_CURRENT_USER

HKLM HKEY_LOCAL_MACHINE

HKCR HKEY_CLASSES_ROOT

而對于 HKEY_USERS 和 HKEY_CURRENT_CONFIG 兩個根鍵則沒有縮寫形式。

②主鍵路徑

主鍵路徑就是目標鍵在注冊表中的主鍵位置，各個主鍵之間用''符分隔開。如：'SoftwareMicrosoftWindowsCurrentVersionPolicies'

③鍵值

鍵值參數可以省去不寫。在這種情況下，整個路徑參數就以''結尾。這時，所有的操作都只針對整個主鍵來進行，而不是該主鍵的某個鍵值。如果想對某個主鍵下的某個鍵值進行操作，則應包含這一部分，直接接在主鍵路徑之后即可。

例如一個完整的路徑參數如下所示：'HKCRSoftwareMicrosoftWindowsCurrentVersionPoliciesNoRun' [未結束][iduba_page]4、應用舉例

〖應用之一〗

以下將是一個創建、讀取顯示、修改和刪除注冊表項的腳本示例。程序在每一次進行注冊表的操作之前，都會給出相應的提示，建議大家在運行本程序之前，用一個窗口打開本腳本的源代碼，在另一個窗口打開注冊表編輯器，并找到HKEY_CURRENT_USER根鍵。在每一次出現提示之后，不要急于點擊“確定”，按<TAB>鍵切換到注冊表編輯窗口，按下<F5>刷新一下注冊表的相關鍵值，并觀察程序的執行情況與注冊表變化之間的關系。最后切換到提示窗口，按下“確定”繼續程序的執行。這樣，相信大家都能立即理解并學會這幾個方法的使用方法。源代碼如下：

‘DEMO.vbs 這是腳本程序的文件名

Dim RegWsh,sReadKey,sPrompt,sFixprompt

sFixprompt=chr(13)&chr(10)&'　是否與寫入的內容相一致？:) :-) :--)'

MsgBox '此腳本顯示如何創建、讀取、修改和刪除注冊表項。'

Set RegWsh = WScript.CreateObject('WScript.Shell')

MsgBox '創建項 HKCUMyRegKey，數值為 ‘一級鍵值‘'

RegWsh.RegWrite 'HKCUMyRegKey', '一級鍵值'

sReadKey=RegWsh.RegRead('HKCUMyRegKey')

sPrompt='(默認)鍵值為：‘'&sReadKey&'‘'&sFixprompt

msgbox '讀取的HKCUMyRegKey下'&sPrompt

MsgBox '創建項 HKCUMyRegKeyEntry，數值為 ‘二級子鍵‘'

RegWsh.RegWrite 'HKCUMyRegKeyEntry', '二級子鍵'

sReadKey=RegWsh.RegRead('HKCUMyRegKeyEntry')

sPrompt='(默認)鍵值為：‘'&sReadKey&'‘'&sFixprompt

msgbox '讀取的HKCUMyRegKeyEntry下'&sPrompt

MsgBox '修改 HKCUMyRegKeyEntry(默認)鍵值為：‘修改后的二級子鍵‘'

RegWsh.RegWrite 'HKCUMyRegKeyEntry', '修改后的二級子鍵'

sReadKey=RegWsh.RegRead('HKCUMyRegKeyEntry')

sPrompt='(默認)鍵值已經修改為：‘'&sReadKey&'‘'&sFixprompt

msgbox '讀取的HKCUMyRegKeyEntry下'&sPrompt

MsgBox '將數值項 HKCUMyRegKeyValue 設為字符類型（REG_SZ），數值為 1'

RegWsh.RegWrite 'HKCUMyRegKeyValue', 1

MsgBox '將數值項 HKCUMyRegKeyEntry 設為 雙字節型（REG_DWORD），數值為 2'

RegWsh.RegWrite 'HKCUMyRegKeyEntry', 2, 'REG_DWORD'

MsgBox '將數值項 HKCUMyRegKeyEntryValue1 設為 二進制類型（REG_BINARY），數值為 3' RegWsh.RegWrite 'HKCUMyRegKeyEntryValue1', 3, 'REG_BINARY' [未結束][iduba_page]MsgBox '以下將刪除 HKCUMyRegKeyEntryValue1 數值'

RegWsh.RegDelete 'HKCUMyRegKeyEntryValue1'

MsgBox '以下將刪除 HKCUMyRegKeyEntry 主鍵'

RegWsh.RegDelete 'HKCUMyRegKeyEntry'

MsgBox '以下將刪除 HKCUMyRegKey 主鍵'

RegWsh.RegDelete 'HKCUMyRegKey'

從上面的例子可以看出，用腳本訪問注冊表其實也很簡單。當然，我們也可以將用VBScript編寫的腳本代碼放在網頁文件（Html文檔）之中，這時，一般無需對代碼進行任何更改，只需要在VBScript代碼的前后，分別加上<script language=vbs>和</script>即可。下面我們再舉一例進行說明：

〖應用之二〗帶毒網頁解析

點擊這里看帶毒網頁演示。如果提示網頁上有錯誤，請下載到本地運行。

[說明]：在使用上面這個“〖應用之二〗帶毒網頁解析”例子的時候，請注意有一定的危險性。一定要事先做好注冊表的備份！如果出現其他異常情況，請盡快用后文中的recover.htm進行恢復！！！

有了前面所學的知識，我們已經知道，在網頁中調用腳本語言訪問注冊表，其實是很容易的一件事。但如果所訪問的注冊表的鍵值被蓄意的進行了惡意的修改……呵呵。我們的系統的安全性就受到了嚴峻的挑戰。