深入挖掘Windows腳本技術(shù)第1/2頁

2020-07-26 12:15:17

字體：大中小

供稿：網(wǎng)友

深入挖掘Windows腳本技術(shù)

文章作者：zzzEVAzzz <zzzevazzz@126.com>

為使文中涉及的代碼整潔，將使用論壇的PHP標(biāo)簽處理。（沒有VBS標(biāo)簽，code標(biāo)簽不好用，郁悶）
如果轉(zhuǎn)載本文，請注意做相應(yīng)調(diào)整。

【目錄】
1，前言
2，回顧WSH對象
3，WMI服務(wù)
4，腳本也有GUI
5，反查殺
6，來做個后門
7，結(jié)語
8，參考資料

【前言】
本文講述一些Windows腳本編程的知識和技巧。這里的Windows腳本是指"Windows Script Host"(WSH Windows腳本宿主)，而不是HTML或ASP中的腳本。前者由Wscript或Cscript解釋，后兩者分別由IE和IIS負(fù)責(zé)解釋。描述的語言是VBScript。本文假設(shè)讀者有一定的Windows腳本編程的基礎(chǔ)。如果你對此還不了解，請先學(xué)習(xí)《Windows腳本技術(shù)》[1]。

【回顧WSH對象】
得益于com技術(shù)的支持，WSH能提供比批處理(.bat)更強(qiáng)大的功能。說白了，wsh不過是調(diào)用現(xiàn)成的“控件”作為一個對象，用對象的屬性和方法實現(xiàn)目的。

常用的對象有：
WScript
Windows腳本宿主對象模型的根對象，要使用WSH自然離不開它。它提供多個子對象，比如WScript.Arguments和WScript.Shell。前者提供對整個命令行參數(shù)集的訪問，后者可以運(yùn)行程序、操縱注冊表內(nèi)容、創(chuàng)建快捷方式或訪問系統(tǒng)文件夾。

Scripting.FileSystemObject
主要為IIS設(shè)計的對象，訪問文件系統(tǒng)。這個恐怕是大家遇到最多的對象了，因為幾乎所有的Windows腳本病毒都要通過它復(fù)制自己感染別人。

ADODB.Stream
ActiveX Data Objects數(shù)據(jù)庫的子對象，提供流方式訪問文件的功能。這雖然屬于數(shù)據(jù)庫的一部分，但感謝微軟，ADO是系統(tǒng)自帶的。

Microsoft.XMLHTTP
為支持XML而設(shè)計的對象，通過http協(xié)議訪問網(wǎng)絡(luò)。常用于跨站腳本執(zhí)行漏洞和SQL injection。

還有很多不常見的：
活動目錄服務(wù)接口(ADSI)相關(guān)對象 ―― 功能涉及范圍很廣，主要用于Windows域管理。
InternetExplorer對象 ―― 做IE能做的各種事。
Word，Excel，Outlook對象 ―― 用來處理word文檔，excel表單和郵件。
WBEM對象 ―― WBEM即Web-Based Enterprise Management。它為管理Windows提供強(qiáng)大的功能支持。下一節(jié)提到的WMI服務(wù)提供該對象的接口。

很顯然，WSH可以利用的對象遠(yuǎn)遠(yuǎn)不止這些。本文掛一漏萬，談一些較實用的對象及其用法。
先看一個支持?jǐn)帱c續(xù)傳下載web資源的例子，它用到了上面說的4個常用對象。

復(fù)制代碼代碼如下:

if (lcase(right(wscript.fullname,11))="wscript.exe") then     '判斷腳本宿主的名稱' 
  die("Script host must be CScript.exe.")               '腳本宿主不是CScript，于是就die了' 
end if 

if wscript.arguments.count<1 then                     '至少要有一個參數(shù)' 
  die("Usage: cscript webdl.vbs url [filename]")         '麻雀雖小五臟俱全，Usage不能忘' 
end if 

url=wscript.arguments(0)                           '參數(shù)數(shù)組下標(biāo)從0開始' 
if url="" then die("URL can't be null.")               '敢唬我，空url可不行' 
if wscript.arguments.count>1 then                     '先判斷參數(shù)個數(shù)是否大于1' 
  filename=wscript.arguments(1)                     '再訪問第二個參數(shù)' 
else                                       '如果沒有給出文件名，就從url中獲得' 
  t=instrrev(url,"/")                           '獲得最后一個"/"的位置' 
  if t=0 or t=len(url) then die("Can not get filename to save.")   '沒有"/"或以"/"結(jié)尾' 
  filename=right(url,len(url)-t)                     '獲得要保存的文件名' 
end if 
if not left(url,7)="http://" then url="http://"&url         '如果粗心把“http://”忘了，加上' 

set fso=wscript.createobject("Scripting.FileSystemObject")   'FSO，ASO，HTTP三個對象一個都不能少' 
set aso=wscript.createobject("ADODB.Stream") 
set http=wscript.createobject("Microsoft.XMLHTTP") 

if fso.fileexists(filename) then                     '判斷要下載的文件是否已經(jīng)存在' 
  start=fso.getfile(filename).size                   '存在，以當(dāng)前文件大小作為開始位置' 
else 
  start=0                                   '不存在，一切從零開始' 
  fso.createtextfile(filename).close                 '新建文件' 
end if 

wscript.stdout.write "Connectting..."                 '好戲剛剛開始' 
current=start                                 '當(dāng)前位置即開始位置' 
do 
  http.open "GET",url,true                         '這里用異步方式調(diào)用HTTP' 
  http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) '斷點續(xù)傳的奧秘就在這里' 
  http.setrequestheader "Content-Type:","application/octet-stream" 
  http.send                                   '構(gòu)造完數(shù)據(jù)包就開始發(fā)送' 

  for i=1 to 120                               '循環(huán)等待' 
    if http.readystate=3 then showplan()               '狀態(tài)3表示開始接收數(shù)據(jù)，顯示進(jìn)度' 
    if http.readystate=4 then exit for               '狀態(tài)4表示數(shù)據(jù)接受完成' 
    wscript.sleep 500                           '等待500ms' 
  next 
  if not http.readystate=4 then die("Timeout.")           '1分鐘還沒下完20k？超時！' 
  if http.status>299 then die("Error: "&http.status&" "&http.statustext) '不是吧，又出錯？' 
  if not http.status=206 then die("Server Not Support Partial Content.") '服務(wù)器不支持?jǐn)帱c續(xù)傳' 

  aso.type=1                                 '數(shù)據(jù)流類型設(shè)為字節(jié)' 
  aso.open 
  aso.loadfromfile filename                       '打開文件' 
  aso.position=start                             '設(shè)置文件指針初始位置' 
  aso.write http.responsebody                       '寫入數(shù)據(jù)' 
  aso.savetofile filename,2                       '覆蓋保存' 
  aso.close 

  range=http.getresponseheader("Content-Range")           '獲得http頭中的"Content-Range"' 
  if range="" then die("Can not get range.")             '沒有它就不知道下載完了沒有' 
  temp=mid(range,instr(range,"-")+1)                 'Content-Range是類似123-456/789的樣子' 
  current=clng(left(temp,instr(temp,"/")-1))             '123是開始位置，456是結(jié)束位置' 
  total=clng(mid(temp,instr(temp,"/")+1))               '789是文件總字節(jié)數(shù)' 
  if total-current=1 then exit do                   '結(jié)束位置比總大小少1就表示傳輸完成了' 
  start=start+20480                             '否則再下載20k' 
loop while true 

wscript.echo chr(13)&"Download ("&total&") Done."         '下載完了，顯示總字節(jié)數(shù)' 

function die(msg)                               '函數(shù)名來自Perl內(nèi)置函數(shù)die' 
wscript.echo msg                               '交代遺言^_^' 
wscript.quit                                   '去見馬克思了' 
end function 

function showplan()                             '顯示下載進(jìn)度' 
if i mod 3 = 0 then c="/"                         '簡單的動態(tài)效果' 
if i mod 3 = 1 then c="-" 
if i mod 3 = 2 then c="/" 
wscript.stdout.write chr(13)&"Download ("¤t&") "&c&chr(8)'13號ASCII碼是回到行首，8號是退格' 
end function

可以看到，http控件的功能是很強(qiáng)大的。通過對http頭的操作，很容易就實現(xiàn)斷點續(xù)傳。例子中只是單線程的，事實上由于http控件支持異步調(diào)用和事件，也可以實現(xiàn)多線程下載。在MSDN里有詳細(xì)的用法。至于斷點續(xù)傳的詳細(xì)資料，請看RFC2616。

FSO和ASO都可以訪問文件，他們有什么區(qū)別呢？其實，ASO除了在訪問字節(jié)（非文本）數(shù)據(jù)有用外，就沒有存在的必要了。如果想把例子中的ASO用FSO來實現(xiàn)，那么寫入http.responsebody的時候會出錯。反之也不行，ASO無法判斷文件是否存在。如果文件不存在，loadfromfile就直接出錯，沒有改正的機(jī)會。當(dāng)然，可以用on error resume next語句讓腳本宿主忽略非致命錯誤，自己捕捉并處理。但有現(xiàn)成的fileexists()為什么不用呢？

另外，由于FSO經(jīng)常被腳本病毒和ASP木馬利用，所以管理員可能會在注冊表中修改該控件的信息，使腳本無法創(chuàng)建FSO。其實執(zhí)行一個命令regsvr32 /s scrrun.dll就恢復(fù)了。即使scrrun.dll被刪除，自己復(fù)制一個過去就行。

熱身完之后，下面我們來看一個功能強(qiáng)大的對象――WBEM（由WMI提供）。

【W(wǎng)MI服務(wù)】
先看看MSDN里是怎么描述WMI的――Windows 管理規(guī)范 (WMI) 是可伸縮的系統(tǒng)管理結(jié)構(gòu)，它采用一個統(tǒng)一的、基于標(biāo)準(zhǔn)的、可擴(kuò)展的面向?qū)ο蠼涌凇Ｎ以趧傞_始理解WMI的時候，總以為WMI是"Windows管理接口"(Interface)，呵呵。

再看什么是WMI服務(wù)――提供共同的界面和對象模式以便訪問有關(guān)操作系統(tǒng)、設(shè)備、應(yīng)用程序和服務(wù)的管理信息。如果此服務(wù)被終止，多數(shù)基于Windows的軟件將無法正常運(yùn)行。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。

看上去似乎是個很重要的服務(wù)。不過，默認(rèn)情況下并沒有服務(wù)依賴它，反而是它要依賴RPC和EventLog服務(wù)。但它又是時常用到的。我把WMI服務(wù)設(shè)置為手動啟動并停止，使用電腦一段時間，發(fā)現(xiàn)WMI服務(wù)又啟動了。被需要就啟動，這是服務(wù)設(shè)置為“手動”的特點。當(dāng)我知道WMI提供的管理信息有多龐大后，對WMI服務(wù)的自啟動就不感到奇怪了。

想直觀了解WMI的復(fù)雜，可以使用WMITools.exe[2]這個工具。這是一個工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象，其復(fù)雜程度不亞于注冊表。更重要的是，WMI還提供動態(tài)信息，比如當(dāng)前進(jìn)程、服務(wù)、用戶等。

WMI的邏輯結(jié)構(gòu)是這樣的：
首先是WMI使用者，比如腳本（確切的說是腳本宿主）和其他用到WMI接口的應(yīng)用程序。由WMI使用者訪問CIM對象管理器WinMgmt（即WMI服務(wù)），后者再訪問CIM(公共信息模型Common Information Model)儲存庫。靜態(tài)或動態(tài)的信息（對象的屬性）就保存在CIM庫中，同時還存有對象的方法。一些操作，比如啟動一個服務(wù)，通過執(zhí)行對象的方法實現(xiàn)。這實際上是通過COM技術(shù)調(diào)用了各種dll。最后由dll中封裝的API完成請求。

WMI是事件驅(qū)動的，操作系統(tǒng)、服務(wù)、應(yīng)用程序、設(shè)備驅(qū)動程序等都可作為事件源，通過COM接口生成事件通知。WinMgmt捕捉到事件，然后刷新CIM庫中的動態(tài)信息。這也是為什么WMI服務(wù)依賴EventLog的原因。

說完概念，我們來看看具體如何操作WMI接口。
下面這個例子的代碼來自我寫的腳本RTCS。它是遠(yuǎn)程配置telnet服務(wù)的腳本。
這里只列出關(guān)鍵的部分：

首先是創(chuàng)建對象并連接服務(wù)器：

復(fù)制代碼代碼如下:

set objlocator=createobject("wbemscripting.swbemlocator") 
set objswbemservices=objlocator.connectserver(ipaddress,"root/default",username,password) 

第一句創(chuàng)建一個服務(wù)定位對象，然后第二句用該對象的connectserver方法連接服務(wù)器。
除了IP地址、用戶名、密碼外，還有一個名字空間參數(shù)root/default。
就像注冊表有根鍵一樣，CIM庫也是分類的。用面向?qū)ο蟮男g(shù)語來描述就叫做“名字空間”(Name Space)。
由于RTCS要處理NTLM認(rèn)證方式和telnet服務(wù)端口，所以需要訪問注冊表。而操作注冊表的對象在root/default。

復(fù)制代碼代碼如下:

set objinstance=objswbemservices.get("stdregprov")     '實例化stdregprov對象' 
set objmethod=objinstance.methods_("SetDWORDvalue")   'SetDWORDvalue方法本身也是對象' 
set objinparam=objmethod.inparameters.spawninstance_() '實例化輸入?yún)?shù)對象' 
objinparam.hdefkey=&h80000002                   '根目錄是HKLM，代碼80000002(16進(jìn)制)' 
objinparam.ssubkeyname="SOFTWARE/Microsoft/TelnetServer.0"   '設(shè)置子鍵' 
objinparam.svaluename="NTLM"       '設(shè)置鍵值名' 
objinparam.uvalue=ntlm           '設(shè)置鍵值內(nèi)容，ntlm是變量，由用戶輸入?yún)?shù)決定' 
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) '執(zhí)行方法' 

然后設(shè)置端口

復(fù)制代碼代碼如下:

objinparam.svaluename="TelnetPort" 
objinparam.uvalue=port           'port也是由用戶輸入的參數(shù)' 
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) 

看到這里你是不是覺得有些頭大了呢？又是名字空間，又是類的實例化。我在剛開始學(xué)習(xí)WMI的時候也覺得很不習(xí)慣。記得我的初中老師說過，讀書要先把書讀厚，再把書讀薄。讀厚是因為加入了自己的想法，讀薄是因為把握要領(lǐng)了。
我們現(xiàn)在就把書讀薄。上面的代碼可以改為：

復(fù)制代碼代碼如下:

 
set olct=createobject("wbemscripting.swbemlocator") 
set oreg=olct.connectserver(ip,"root/default",user,pass).get("stdregprov") 
HKLM=&h80000002 
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer.0","NTLM",ntlm) 
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer.0","TelnetPort",port) 

現(xiàn)在是不是簡單多了？

接著是對telnet服務(wù)狀態(tài)的控制。

復(fù)制代碼代碼如下:

set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password) 
set colinstances=objswbemservices.execquery("select * from win32_service where name='tlntsvr'") 

這次連接的是root/cimv2名字空間。然后采用wql(sql for WMI)搜索tlntsvr服務(wù)。熟悉sql語法的一看就知道是在做什么了。這樣得到的是一組Win32_Service實例，雖然where語句決定了該組總是只有一個成員。
為簡單起見，假設(shè)只要切換服務(wù)狀態(tài)。

復(fù)制代碼代碼如下:

for each objinstance in colinstances 
  if objinstance.started=true then         '根據(jù)started屬性判斷服務(wù)是否已經(jīng)啟動' 
    intstatus=objinstance.stopservice()     '是，調(diào)用stopservice停止服務(wù)' 
  else 
    intstatus=objinstance.startservice()     '否，調(diào)用startservice啟動服務(wù)' 
  end if 
next 

關(guān)鍵的代碼就是這些了，其余都是處理輸入輸出和容錯的代碼。
總結(jié)一下過程：
1，連接服務(wù)器和合適的名字空間。
2，用get或execquery方法獲得所需對象的一個或一組實例。
3，讀寫對象的屬性，調(diào)用對象的方法。

那么，如何知道要連接哪個名字空間，獲得哪些對象呢？《WMI技術(shù)指南》[3]中分類列出了大量常用的對象?？上鼪]有相應(yīng)的電子書，你只有到書店里找它了。你也可以用WMITools里WMI CIM Studio這個工具的搜索功能，很容易就能找想要的對象。找到對象后，WMI CIM Studio能列出其屬性和方法，然后到MSDN里找具體的幫助。而應(yīng)用舉例，除了我寫的7個RS系列腳本，還有參考資料[4]。

需要特別說明的是，在參考資料[4]中，連接服務(wù)器和名字空間用的是類似如下的語法：
Codz:
Set objWMIService=GetObject("winmgmts:!/"&strComputer&"/root/cimv2:Win32_Process")

詳細(xì)的語法在《WMI技術(shù)指南》和MSDN中有介紹，但我們不關(guān)心它，因為這種辦法沒有用戶名和密碼參數(shù)。因此，只有在當(dāng)前用戶在目標(biāo)系統(tǒng)（含本地）有登陸權(quán)限的情況下才能使用。而connectserver如果要本地使用，第一個參數(shù)可以是127.0.0.1或者一個點"."，第3、4個參數(shù)都是空字符串""。

最后，訪問WMI還有一個“特權(quán)”的問題。如果你看過ROTS的代碼，你會發(fā)現(xiàn)有兩句“奇怪”的語句：
Codz:
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true

這是在向WMI服務(wù)申請權(quán)限。18和23都是權(quán)限代號。下面列出一些重要的代號：
5 在域中創(chuàng)建帳戶
7 管理審計并查看、保存和清理安全日志
9 加載和卸載設(shè)備驅(qū)動
10 記錄系統(tǒng)時間
11 改變系統(tǒng)時間
18 在本地關(guān)機(jī)
22 繞過歷遍檢查
23 允許遠(yuǎn)程關(guān)機(jī)

詳細(xì)信息還是請看《WMI技術(shù)指南》或MSDN。
所有特權(quán)默認(rèn)是沒有的。我在寫RCAS時，因為忘了申請?zhí)貦?quán)11，結(jié)果一直測試失敗，很久才找到原因。
只要有權(quán)限連接WMI服務(wù)，總能成功申請到需要的特權(quán)。這種特權(quán)機(jī)制，只是為了約束應(yīng)用程序的行為，加強(qiáng)系統(tǒng)穩(wěn)定性。有點奇怪的是，訪問注冊表卻不用申請任何特權(quán)。真不知道微軟的開發(fā)人員是怎么想的，可能是訪問注冊表太普遍了。

【腳本也有GUI】
雖然系統(tǒng)提供了WScript和CScript兩個腳本宿主，分別負(fù)責(zé)窗口環(huán)境和命令行環(huán)境下的腳本運(yùn)行，但實際上窗口環(huán)境下用戶與腳本交互不太方便：參數(shù)輸入只能建立快捷方式或彈出InputBox對話框，輸出信息后只有在用戶“確定”后才能繼續(xù)運(yùn)行。完全沒有了窗口環(huán)境直觀、快捷的優(yōu)勢。好在有前面提到的InternetExplorer對象，腳本可以提供web風(fēng)格的GUI。

還是來看個例子，一個清除系統(tǒng)日志的腳本，順便復(fù)習(xí)一下WMI：

復(fù)制代碼代碼如下:

 
set ie=wscript.createobject("internetexplorer.application","event_")   '創(chuàng)建ie對象' 
ie.menubar=0                                       '取消菜單欄' 
ie.addressbar=0                                     '取消地址欄' 
ie.toolbar=0                                       '取消工具欄' 
ie.statusbar=0                                       '取消狀態(tài)欄' 
ie.width=400                                       '寬400' 
ie.height=400                                       '高400' 
ie.resizable=0                                       '不允許用戶改變窗口大小' 
ie.navigate "about"&":blank"                             '打開空白頁面' 
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2)   '水平居中' 
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) '垂直居中' 
ie.visible=1                                       '窗口可見' 

with ie.document                                 '以下調(diào)用document.write方法，' 
.write "<html><body bgcolor=#dddddd scroll=no>"             '寫一段html到ie窗口中。' 
.write "<h2 align=center>遠(yuǎn)程清除系統(tǒng)日志</h2><br>" 
.write "<p>目標(biāo)IP：<input id=ip type=text size=15>"           '也可以用navigate方法直接打開一' 
.write "<p>用戶名：<input id=user type=text size=30>"         '個html文件，效果是一樣的。' 
.write "<p>密碼：　<input id=pass type=password size=30>" 
.write "<p align=center>類型："                       '不僅是input對象，所有DHTML支持' 
.write "<input id=app type=checkbox>應(yīng)用程序 "             '的對象及其屬性、方法都可以使用。' 
.write "<input id=sys type=checkbox>系統(tǒng) " 
.write "<input id=sec type=checkbox>安全"                 '訪問這些對象的辦法和網(wǎng)頁中訪問' 
.write "<p align=center><br>"                         '框架內(nèi)對象是類似的。' 
.write "<input id=confirm type=button value=確定> " 
.write "<input id=cancel type=button value=取消>" 
.write "</body></html>" 
end with 

dim wmi                                       '顯式定義一個全局變量' 
set wnd=ie.document.parentwindow                       '設(shè)置wnd為窗口對象' 
set id=ie.document.all                             '設(shè)置id為document中全部對象的集合' 
id.confirm.onclick=getref("confirm")                     '設(shè)置點擊"確定"按鈕時的處理函數(shù)' 
id.cancel.onclick=getref("cancel")                     '設(shè)置點擊"取消"按鈕時的處理函數(shù)' 

do while true                                   '由于ie對象支持事件，所以相應(yīng)的，' 
wscript.sleep 200                                 '腳本以無限循環(huán)來等待各種事件。' 
loop 

sub event_onquit                                 'ie退出事件處理過程' 
wscript.quit                                     '當(dāng)ie退出時，腳本也退出' 
end sub 

sub cancel                                     '"取消"事件處理過程' 
ie.quit                                       '調(diào)用ie的quit方法，關(guān)閉IE窗口' 
end sub                                       '隨后會觸發(fā)event_onquit，于是腳本也退出了' 

sub confirm                                     '"確定"事件處理過程，這是關(guān)鍵' 
with id 
if .ip.value="" then .ip.value="."                     '空ip值則默認(rèn)是對本地操作' 
if not (.app.checked or .sys.checked or .sec.checked) then     'app等都是checkbox，通過檢測其checked' 
  wnd.alert("至少選擇一種日志")                       '屬性，來判斷是否被選中。' 
  exit sub 
end if 
set lct=createobject("wbemscripting.swbemlocator")           '創(chuàng)建服務(wù)器定位對象' 
on error resume next                               '使腳本宿主忽略非致命錯誤' 
set wmi=lct.connectserver(.ip.value,"root/cimv2",.user.value,.pass.value) '連接到root/cimv2名字空間' 
if err.number then                                 '自己捕捉錯誤并處理' 
  wnd.alert("連接WMI服務(wù)器失敗")                       '這里只是簡單的顯示“失敗”' 
  err.clear 
  on error goto 0                                 '仍然讓腳本宿主處理全部錯誤' 
  exit sub 
end if 
if .app.checked then clearlog "application"               '清除每種選中的日志' 
if .sys.checked then clearlog "system" 
if .sec.checked then clearlog "security"                 '注意，在XP下有限制，不能清除安全日志' 
wnd.alert("日志已清除") 
end with 
end sub 

sub clearlog(name) 
wql="select * from Win32_NTEventLogFile where logfilename='"&name&"'" 
set logs=wmi.execquery(wql)                           '注意，logs的成員不是每條日志，' 
for each l in logs                                 '而是指定日志的文件對象。' 
  if l.cleareventlog() then 
    wnd.alert("清除日志"&name&"時出錯！") 
    ie.quit 
    wscript.quit 
  end if 
next 
end sub 

總結(jié)一下整個過程。首先是創(chuàng)建internetexplorer.application對象。其直接的效果是啟動了一個iexplorer進(jìn)程，但窗口是不可見的，直到設(shè)置了ie.visible=1。然后用document.write方法將html語句寫到ie窗口中。對于復(fù)雜的界面，可以將html代碼保存為一個html文件，用ie.navigate(filename)打開。最后是響應(yīng)窗口中的輸入。這基本上屬于DHTML的知識范疇。

與一般腳本編程最大的不同之處，在于ie是事件驅(qū)動的。你所要做的，就是設(shè)置好相應(yīng)的事件處理函數(shù)/過程。
在本例中，腳本只關(guān)心3個事件：ie退出，"確定"按鈕被點擊，"取消"按鈕被點擊。

注意，例子中只有兩句設(shè)置事件處理過程的語句，沒有定義ie退出事件與event_onquit過程關(guān)聯(lián)。這是因為這里用到一個特性――創(chuàng)建ie對象時的第二個參數(shù)"event_"是一個前綴，ie對象的事件處理過程名是該前綴加事件名。所以onquit事件的處理過程默認(rèn)就是event_onquit。

當(dāng)點擊"確定"按鈕后，confirm過程被調(diào)用。例子中演示了如何訪問ie中的對象，比如ie.document.all.ip.value就是在"目標(biāo)IP"文本框中的輸入。如果選中"應(yīng)用程序"這個checkbox，那么ie.document.all.app.checked的值是true，否則是false。想調(diào)用alert方法，則用ie.document.parentwindow.alert。其他各種ie內(nèi)對象的訪問方法完全是類似的。具體的可以看DHTML相關(guān)資料。

有了web界面，交互就變得豐富多彩了。大家可以充分發(fā)揮創(chuàng)意。

比如，很多GUI工具(比如流光)啟動時，有一個logo頁，顯示版權(quán)等信息。我們用ie對象也可以模擬一個出來：

復(fù)制代碼代碼如下:

 
set ie=wscript.createobject("internetexplorer.application") 
ie.fullscreen=1 
ie.width=300 
ie.height=150 
ie.navigate "about"&":blank" 
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2) 
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) 
ie.document.write "<body bgcolor =skyblue scroll=no><br><br>"&_ 
"<h2 align=center>這是一個Logo</h2></body>" 
ie.visible=1 
wscript.sleep 5000 
ie.quit 

上面這段代碼執(zhí)行后，將在屏幕中央顯示一個連標(biāo)題欄和邊框都沒有的ie窗口，持續(xù)5秒。
窗口里是藍(lán)底黑字的“這是一個Logo”。

腳本GUI化之后，與用戶的交互更直觀。像Nmap那樣有很多參數(shù)的工具，在本地使用時，寫一個圖形界面的“接口”就一勞永逸了。輸出的結(jié)果也可以用腳本處理，以更適合閱讀的方式顯示，就像流光等工具能生成html掃描報告那樣。

12下一頁閱讀全文

上一篇：用VBSCRIPT控制ONSUBMIT事件

下一篇：使用腳本自動修改ip設(shè)置