实验三 脚本病毒和宏病毒分析

脚本病毒实验【实验内容】脚本实验平台根据用户指定需求，自动生成脚本病毒代码，并在界面中呈现给用户，用户可以编辑代码，运行脚本，观察脚本运行现象，并分析脚本实现，脚本实验具体内容包括：(1)复制病毒副本到系统文件夹；(2)复制病毒副本到启动菜单；(3)禁止“运行”菜单；(4)禁止“关闭系统”菜单；(5)禁止显示桌面所有图标；(6)禁止“任务栏”和“开始”；(7)禁止“控制面板”；(8)修改“IE”默认页。

【实验原理】脚本病毒通常是JavaScript或VBScript等语言编写的恶意代码，一般带有广告性质，会修改IE首页、修改注册表等信息，对用户计算机造成破坏。

通过网页进行的传播的病毒较为典型，脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)、红色代码(Script.Redlof)等。

典型的脚本病毒通过邮件方式进行传播，如图2.4.1-1所示的代码为病毒通过向Outlook 中的地址簿中联系人地址发送邮件，从而将病毒代码以附件的形式广泛传播到互联网其它主机。

图2.4.1-1【实验环境】Windows实验台【实验步骤】打开Windows实验台，点击桌面“病毒实验”，选择“脚本病毒实验”，进入其实施面板，如图2.4.1-2所示。

图2.4.1-2一、脚本病毒代码分析和查看分别选择相应的脚本文件，学生用户即可查看脚本病毒代码。

在界面左侧功能选择区选择实验名称，用户在界面右侧将会看到该脚本病毒的全部代码。

如图2.4.1-3所示。

图2.4.1-3学生用户如需要编辑脚本病毒代码，用户在界面右侧将会看到该脚本病毒的全部代码，在此基础上编辑代码，将会生成用户自定义的脚本病毒，点击“保存脚本”按钮将把编辑好的脚本文件永久保存，如果编辑过程出现错误或者异常，点击“重置脚本”将恢复最初的脚本代码。

实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。

宏病毒原理及案例分析屈立成4114005088什么是宏？所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务。

Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。

Word使用宏语言Word_Basic将宏作为一系列指令来编写。

Word宏病毒是一些制作病毒的专业人员利用Microsoft Word的开放性即word中提供的Word BASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过.DOC文档及.DOT 模板进行自我复制及传播。

宏可使任务自动化，如果在Word中重复进行某项工作，可用宏使其自动执行。

宏是将一系列的Word命令和指令结合在一起，形成一个命令，以实现任务执行的自动化。

用户可创建并执行一个宏，以替代人工进行一系列费时而重复的Word操作。

事实上，它是一个自定义命令，用来完成所需任务。

宏的一些典型应用如：加速日常编辑和格式设置、组合多个命令、使对话框中的选项更易于访问、使一系列复杂的任务自动执行等。

Word 提供了两种创建宏的方法：宏录制器和Visual Basic 编辑器。

宏录制器可帮助用户开始创建宏。

Word 在VBA 编程语言中把宏录制为一系列的Word 命令。

可在Visual Basic 编辑器中打开已录制的宏，修改其中的指令。

也可用Visual Basic 编辑器创建包括Visual Basic 指令的非常灵活和强有力的宏，这些指令无法采用录制的方式。

VBAVisual Basic for Applications（VBA）是Visual Basic的一种宏语言，是微软开发出来在其桌面应用程序中执行通用的自动化任务的编程语言。

主要能用来扩展Windows的应用程式功能，特别是Microsoft Office软件。

也可说是一种应用程式视觉化的Basic 脚本。

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告一．实验目的1.理解WORD宏病毒的感染方式2.理解WORD宏病毒的工作原理3.掌握WORD宏病毒的杀毒方法二．实验原理WORD的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式(如备忘录)等。

模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。

WORD提供了几种常见文档类型的模板，如备忘录、报告和商务信件。

你可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。

一般情况下，WORD自动将新文档基于缺省的公用模板NORMAL.DOT。

由此可以看出，模板在建立整个文档中起的作用是作为基类，文档继承模板的属性，包括宏、菜单、格式等。

另外，WORD还提供强大的宏功能。

宏是能组织到一起作为一个独立命令使用的一系列WORD命令，它能使日常工作变得更容易。

在WORD启动时，会自动加载NORMAL.DOT模板，以及它们所包含的宏。

您可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动WORD或打开文档，就自动执行具有特殊命名的宏。

同其他宏一样，你可以将自动宏定义在一个共用模板上，也可以将其定义在一个特定模板上。

宏病毒主要寄生在以下3个宏中：AUTOOPEN、AUTONEW、AUTOCLOSE。

带病毒文档打开时，将病毒传染给NORMAL.DOT公用模板中，再由公用模板传染给所有其它正常的文档。

二．MOTHERSDAYVIRUS病毒感染机制MOTHERSDAYVIRUS宏病毒感染WORD文档和NORMAL.DOT文档。

被感染的WORD文档打开时或关闭时会首先弹出一个对话框，对话框关闭后再将控制权转移给正常的WORD文档执行。

MOTHERSDAYVIRUS使用DOCUMENT_OPEN宏（文档打开时执行）感染NORMAL.DOT，使用AUTOCLOSE自动宏感染其它文档。

计算机病毒实验报告一、实验目的（1）掌握常见几种病毒的基本原理（2）掌握清除病毒的方法（3）学会使用几种常见病毒进行基本编程的技术二、实验内容分别用PE病毒，欢乐时光脚本病毒，梅丽莎宏病毒，台湾宏病毒，万花谷脚本病毒，网络炸弹脚本病毒进行感染和病毒清除实验。

三、实验环境信息安全综合实验系统操作系统：WINDOWS2000JDK版本：Java Standard Edition 以上数据库：Mysql开发语言：JSPWeb服务器:TomacatOffice版本:MS office2000/2003四、实验结果1、网络炸弹（1）实验原理网页恶意代码确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。

这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，使非常多的用户遭受损失。

“网络炸弹”是一种网页恶意代码，可以无限次得弹出固定窗口来达到侵占客户机系统资源，最终导致客户端死机的结果。

（2）结果演示1、修改IE的安全级别图1 修改IE安全级别2、修改注册表的安全设置图2 修改IE安全设置3、网络炸弹感染图3 网络炸弹感染4、网络炸弹源码图4 网络炸弹源码2、万花谷脚本病毒（1）实验原理脚本病毒(俗称“万花谷”病毒)实际上是一个含有恶意脚本代码的网页文件，其脚本代码具有恶意破坏能力，但并不含有传播性。

实验病毒为模仿它所写成的类“万花谷”病毒,减轻了病毒危害。

（2）结果演示1、修改IE的安全级别2、万花谷病毒感染图5 万花谷病毒感染-1图6 万花谷病毒感染-2图7 万花谷病毒感染-3图8 万花谷病毒源码3、欢乐时光脚本病毒（1）实验原理病毒程序嵌入在实验系统页面的脚本中，但受到界面脚本的控制与调用，实现通过用户的界面操作来触发病毒的感染，加解密和杀毒脚本，并有不同的操作引导三项实验的不同结果。

（2）结果演示1、修改IE安全级别2、病毒感染图9 欢乐时光病毒感染4、梅丽莎宏病毒（1）实验原理美丽莎宏病毒实际上是一个含有恶意代码的Word自动宏，其代码具有恶意传播繁殖能力，能够造成网络邮件风暴，造成邮件服务器瘫痪。

宏病毒实验报告一、实验目的本次实验旨在深入了解宏病毒的工作原理、传播方式以及其对计算机系统可能造成的危害，并通过实际操作和观察，探索有效的防范和清除策略。

二、实验环境1、操作系统：Windows 10 专业版2、办公软件：Microsoft Office 20193、杀毒软件：＿____杀毒软件三、实验原理宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

当打开包含宏病毒的文档时，宏病毒会被自动激活，并执行其中的恶意代码。

宏病毒通常利用 Office 软件中的宏功能来实现自我复制、传播和破坏操作。

四、实验步骤1、准备带有宏病毒的测试文档从网络上获取已知的含有宏病毒的示例文档。

对获取的文档进行备份，以防对实验环境造成不可恢复的破坏。

2、观察宏病毒的激活过程打开带有宏病毒的文档。

留意弹出的警告提示，记录相关信息。

3、分析宏病毒的行为观察文档中的内容是否被篡改。

检查计算机系统的性能是否受到影响，如 CPU 使用率、内存占用等。

4、尝试清除宏病毒使用安装的杀毒软件进行扫描和清除。

手动删除相关的宏代码。

五、实验结果与分析1、宏病毒激活情况打开测试文档时，Office 软件弹出了宏安全警告，但仍可以选择启用宏。

一旦启用宏，病毒立即开始执行恶意操作。

2、宏病毒的行为表现文档中的部分文本被修改，格式变得混乱。

CPU 使用率短时间内飙升，系统运行变得卡顿。

3、清除效果杀毒软件能够检测到宏病毒，并成功清除大部分感染，但仍有部分残留。

手动删除宏代码后，文档恢复正常，系统性能也逐渐恢复。

六、实验结论1、宏病毒具有较强的隐蔽性和破坏性，能够在用户不知情的情况下对文档和系统造成损害。

2、办公软件的宏安全设置对于防范宏病毒至关重要，用户应保持较高的安全意识，不轻易启用来源不明的宏。

3、杀毒软件在宏病毒的清除方面起到了一定的作用，但仍需不断更新病毒库和优化清除算法，以应对不断变化的宏病毒威胁。

4、定期备份重要的文档和数据是防范宏病毒造成严重损失的有效措施。

计算机病毒实验报告实验3.2 台湾No.1宏病毒3.2 台湾No.1宏病毒3.2.1 实验目的了解台湾No.1宏病毒的基本概念实验自己的台湾No.1宏病毒3.2.2 实验原理台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏，其代码主要是造成恶作剧，并且有可能使用户计算机因为使用资源枯竭而瘫痪。

3.2.3 实验预备知识点】什么是Word宏对VBA语言有一定的了解3.2.4 实验环境操作系统：WINDOWS2000JDK版本：Java Standard Edition 1.4.0以上数据库：MysqlWeb服务器:TomacatOffice版本:MS office2000/20033.2.5 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验由于该病毒特征码明显，因此请首先将病毒防火墙关闭，将系统时间调整到13日。

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒感染实验”，要根据要求和提示操作配置客户端的邮件地址，如下图3-2-1所示。

根据提示下载提供的台湾No.1病毒，亲自运行并记录自己的实验报告。

图3-2-1 病毒样本下载页面2.病毒代码分析进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒代码分析”，可以分析页面中的台湾No.1病毒源代码，根据相关代码分析，填写页面中空白的参数，点击确定系统将自动生成代码。

新建一个word文档作为自己编写的该病毒文件，然后把生成的代码复制并粘帖至Word自带的VBA编译工具中，可以参照美丽莎宏病毒实验中的图4-3至4-4 。

将自行编制的病毒备份待用。

3.杀毒实验进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“杀毒实验”，学习病毒防范方法，根据系统页面上的提示，使用手动杀毒，并写入实验报告中。