计算机病毒查杀方法.ppt

计算机病毒查杀,本章学习目标,掌握计算机病毒诊断知识 掌握杀毒引擎扫描算法 了解病毒诊断实验 理解计算机病毒清除知识,本章内容： 计算机病毒的诊断 原理 方法 源码分析 计算机病毒的清除 典型病毒的查杀,1 计算机病毒的诊断,内容： 计算机病毒的诊断原理 计算机病毒的诊断方法 高速模式匹配 自动诊断的源码分析,计算机病毒的诊断原理,用什么来判断？ 染毒后的特征 常用方法： 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等,比较法,比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括： 注册表比较法 工具RegMon 弱点:正常程序也操作注册表 文件比较法 通常比较文件的长度和内容两个方面 工具FileMon 弱点：长度和内容的变化有时是合法的 病毒可以模糊这种变化,内存比较法 主要针对驻留内存病毒 判断驻留特征 中断比较法 将正常系统的中断向量与有毒系统的中断向量进行比较 比较法的好处：简单 比较法的缺点：无法确认病毒，依赖备份,校验和法,首先，计算正常文件内容的校验和并且将该校验和写入某个位置保存。然后，在每次使用文件前或文件使用过程中，定期地检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。,优点： 方法简单 能发现未知病毒 被查文件的细微变化也能发现 缺点： 必须预先记录正常态的校验和 会误报警 不能识别病毒名称 程序执行附加延迟 不对付隐蔽性病毒。,扫描法,扫描法是用每一种病毒体含有的特定字符串（Signature）对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。 扫描器由两部分组成： 特征串（Signature）和扫描算法（Scanner）,选择代码串的规则是： 代码串不应含有病毒的数据区，数据区是会经常变化的。 在保持唯一性的前提下，应尽量使特征代码长度短些，以减少时间和空间开销。 代码串一定要在仔细分析了程序之后才能选出最具代表性的，足以将该病毒区别于其他病毒和该病毒的其他变种的代码串。 特征串必须能将病毒与正常的非病毒程序区分开。 例如:给定特征串为“E9 7C 00 10 ? 37 CB”，则“E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB”都能被识别出来.,其优点包括： （1）当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。 （2）不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒。 （3）可识别病毒的名称。 （4）误报警率低。 （5）依据检测结果，可做杀毒处理。,缺点： （1）当被扫描的文件很长时，扫描所花时间也较多。 （2）不容易选出合适的特征串，有时会发出假警报。 （3）新病毒的特征串未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒。 （4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力。 （5）容易产生误警报。只要正常程序内带有某种病毒的特征串，即使该代码段已不可能被执行，而只是被杀死的病毒体残余，扫描程序仍会报警。 （6）不易识别变异类病毒。 （7）搜集已知病毒的特征代码，费用开销大。 （8）在网络上使用效率低。,行为监测法,利用病毒的特有行为特性来监测病毒的方法称为行为监测法。 常用行为： 占用INT 13H 修改DOS系统数据区的内存总量 对COM和EXE文件做写入动作 写注册表 自动联网请求 优点：发现未知病毒 缺点：难度大、误报警,感染实验法,这种方法的原理是利用了病毒的最重要的基本特征：感染特性。观察正常程序和可疑程序的表现是非不同。,1检测未知引导型病毒的感染实验法 a.先用一张软盘，做一个清洁无毒的系统盘，用DEBUG程序，读该盘的BOOT扇区进入内存，计算其校验和，并记住此值。同时把正常的BOOT扇区保存到一个文件中。上述操作必须保证系统环境是清洁无毒的 b.在这张实验盘上拷贝一些无毒的系统应用程序。 c.启动可疑系统，将实验盘插入可疑系统，运行实验盘上的程序，重复一定次数。 d.再在干净无毒机器上，检查实验盘的BOOT扇区，可与原BOOT扇区内容比较，如果实验盘BOOT扇区内容已改变，可以断定可疑系统中有引导型病毒。,2检测未知文件型病毒的感染实验法 a.在干净系统中制作一张实验盘，上面存放一些应用程序，这些程序应保证无毒，应选择长度不同，类型不同的文件（既有COM型又有EXE型）。记住这些文件正常状态的长度和校验和。 b.在实验盘上制作一个批处理文件，使盘中程序在循环中轮流被执行数次 c.将实验盘插入可疑系统，执行批处理文件，多次执行盘中程序。 d.将实验盘放人干净系统，检查盘中文件的长度和校验和，如果文件长度增加，或者校验和变化，则可断定系统中有病毒。,对于Windows中的病毒，感染实验法检测内容会更多一些，例如，当使用感染实验法检测“广外女生”木马病毒时，可以采用如下步骤： 首先打开RegSnap，从file菜单选new，然后单击OK按钮，对当前干净的注册表以及系统文件做一个记录。如果木马修改了其中某项，就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 在计算机上运行感染了“广外女生”病毒的文件，例如双击gdufs.exe，然后等一小会儿。如果此时发现正在运行着的“天网防火墙”或“金山毒霸”自动退出，就很可能木马已经驻留在系统中了。, 重新打开RegSnap，从file菜单选new,然后单击OK按钮，把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modified key names and key values，然后单击OK按钮。这样RegSnap就开始比较两次记录有什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 为找出木马的驻留位置以及在注册表中的启动项，看Regsnp1-Regsnp2.htm，若显示如下信息：,Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 File list in C:WINNTSystem32*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 Total positions: 1,则表明两次记录中，没有删除注册表键，修改了15处注册表，新增加了一处注册表键值，在C:WINNTSystem32目录下面新增加了一个文件diagcfg.exe。这个文件非常可疑，因为在比较两次系统信息之间只运行了“广外女生”这个木马，所以有理由相信diagcfg.exe就是木马留在系统中的后门程序。这时打开任务管理器，可以发现其中有一个diagcfg.exe的进程，这就是木马的原身。但这个时候千万不要删除diagcfg.exe，否则系统就无法正常运行了。,木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。从Regsnp1-Regsnp2.htm中可以看到哪些注册表项发生了变化，此时若看到： HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand Old value: String: %1 %* New value: String: C:WINNTSystem32diagcfg.exe %1 %*,则说明这个键值由原来的%1 %*被修改成了C:WINNTSystem32DIAGCFG.EXE %1 %*，这就使得以后每次运行任何可执行文件时都要先运行C:WINNTSystem32 diagcfg.exe这个程序。 找出木马监听的端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe，可以看到：,C:toolfportfport FPort v1.33 TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. Pid ProcessPort Proto Path 584 tcpsvcs- 7TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 9 TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 13 TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 17 TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 19 TCP C:WINNTSystem32tcpsvcs.exe 836 inetinfo - 80 TCP C:WINNTSystem32inetsrvinetinfo.exe 408 svchost - 135 TCP C:WINNTsystem32svchost.exe,836 inetinfo - 443 TCP C:WINNTSystem32inetsrvinetinfo.exe 8System - 445 TCP 464 msdtc - 1025 TCP C:WINNTSystem32msdtc.exe 684 MSTask - 1026 TCP C:WINNTsystem32MSTask.exe 584 tcpsvcs - 1028 TCP C:WINNTSystem32tcpsvcs.exe 836 inetinfo - 1029 TCP C:WINNTSystem32inetsrvinetinfo.exe 8System - 1030 TCP 464 msdtc - 3372 TCP C:WINNTSystem32msdtc.exe 1176 DIAGCFG - 6267 TCP C:WINNTSystem32DIAGCFG.EXE /* 注意这行！ */,836 inetinfo - 7075 TCP C:WINNTSystem32inetsrvinetinfo.exe 584 tcpsvcs - 7 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 9 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 13 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 17 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 19 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 68 UDP C:WINNTSystem32tcpsvcs.exe 408 svchost - 135 UDP C:WINNTsystem32svchost.exe 8 System - 445 UDP 228 services - 1027 UDP C:WINNTsystem32services.exe 836 inetinfo - 3456 UDP C:WINNTSystem32inetsrvinetinfo.exe,虚拟执行法,为了检测多态性病毒，提出了虚拟执行法。它是一种软件分析器，用软件方法来模拟和分析程序的运行。 如果发现隐蔽性病毒或多态性病毒嫌疑时，启动虚拟执行模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法来识别病毒的种类。,分析法,人工智能陷阱技术和宏病毒陷阱技术,人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将所有计算机病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所警觉，并告知使用者。 这种技术的优点是执行速度快、操作简便，且可以侦测到各式计算机病毒。 其缺点就是程序设计难度大，且不容易考虑周全。在这千变万化的计算机病毒世界中，人工智能陷阱扫描技术是一个具有主动保护功能的技术。 宏病毒陷阱技术结合了搜索法和人工智能陷阱技术，依行为模式来侦测已知及未知的宏病毒。其中，配合OLE2技术，可将宏与文件分开，加快扫描速度，而且可以有效地将宏病毒彻底清除。,先知扫描法,先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术（Software Emulation）伪执行新的计算机病毒，超前分析出新计算机病毒代码，对付未知的计算机病毒。,利用原始备份和被检测程序相比较的方法适合于不需专用软件，可以发现异常情况的场合，是一种简单的基本的病毒检测方法； 扫描特征串和识别特征字的方法适用于制作成查病毒软件的方式供广大PC机用户使用，方便而又迅速，但对新出现的病毒会出现漏检的情况，需要与分析和比较法相结合； 分析病毒的方法主要是由专业人员识别病毒，研制反病毒系统时使用，要求较多的专业知识，是反病毒研究不可缺少的方法。,计算机病毒的诊断方法,手工检测 工具软件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等） 优点：Aver发现并分析新病毒 缺点：不可能普及 自动检测 自动检测是指通过一些自动诊断软件来判断系统是否有毒的方法。 优点：易于普及 缺点：滞后性,高速模式匹配,查找的速度是评价一个查毒引擎的关键因素之一。 算法种类： 单模式匹配算法：KMPQSBM等 多模式匹配算法：DFSA基于二叉树的算法 问题描述 设待处理（动态）文本为 单模式匹配是从文本中查找一个模式串 多模式匹配就是通过一次查找从文本中发现多个P1,P2,.,Pq,最简单的查找算法BF算法,Brute-Force算法匹配过程,单模式匹配BM算法,bad-character位移，字符a在P中出现,bad-character位移，字符a在P中不出现,计算公式,good-suffix位移，只有u的前缀v在P中重现,good-suffix位移，u的一次重现且其前一个字符与b不同,首先定义两个条件： cond1(j,s): 对每个k, jkm, s k 或者Pk-s=Pk cond2(j,s):如果 sj 那么， 然后对于 最后，取两者最大值作为右移值,经典多模式匹配DFSA算法,1. DFSA算法的预处理过程 (1) 转向函数g（state1, char） - state2 模式集合he，she，his，hers,(2) 失效函数f 当发生字符失配时，失效函数指明下一个应处理的状态。规定： 所有第一层状态的失效函数 ； 对于非第一层的状态s，若其父状态为r（存在某个字符a, g(r,a)=s），其失效函数为 ，状态 为追溯状态s的祖先状态所得到的最近一个使 存在的状态。,(3) 输出函数output Output(s) = 根节点到叶子节点路径上字符组成的字符串 当f(s)=s时， output(s) U= output(s),2. DFSA算法的查找过程 （1） 从有限自动机的0状态出发，逐个取出P中模式Pk中的字符c，并按转向函数g(s, c)或失效函数f(s)进入下一状态。 （2） 当输出函数output(s)不为空时，输出output(s)。 用有限自动机扫描文本串“ushers”的过程： 开始为0状态，因g(0,u)=0，g(0,s)=3，g(3,h)=4，g(4,e)=5，而output(5)=he，she，故输出he，she； 因f(5)=g(f(4),e)=2，g(2,r)=8，g(8,s)=9，output(9)=hers，故输出hers。 即文本串“ushers”中含有he，she，hers这三个模式串。,扫描引擎的结构,自动诊断的源码分析,讨论自动诊断病毒（查毒）的最简单方法特征码扫描法 自动诊断程序至少要包括两个部分： 病毒特征码（Virus Pattern Virus Signature）库 扫描引擎（Scan Engine）。 病毒特征码 意义重大 获得方法 手工 自动,扫描引擎 是杀毒软件的精华部分 考虑杀毒速度 待杀毒文件的类型 支持的硬盘格式 其他特殊技术 虚拟执行 行为识别等等,简单的查毒程序,VirScan是一个简单的示例程序，其功能： 根据病毒特征码发现特定病毒（CIH和Klez）。 VirScan从程序入口点开始查找病毒特征码。 对抗Klez病毒会卸载杀毒引擎的功能。 CIH病毒不会动态地改变程序入口点处的标记，我们可以自接从入口点处开始。 Klez病毒会动态的改变程序入口点处的前16个字节，所以，VirScan跳过了前16个字节。,构造病毒库virus.pattern,病毒库virus.pattern的结构如下： Klez = A1, 00, 00, 00, 00, 50, 64, 89, 25, 00, 00, 00, 00, 83, EC, 58, 53, 56, 57, 89; Cih = 55, 8D, 44, 24, F8, 33, DB, 64, 87, 03;,初始化病毒库,转化函数： 字符-55； 数字-30 经过转换后的格式为： unsigned char KlezSignature=0xA1, 0x00, 0x00, 0x00, 0x00, 0x50, 0x64, 0x89, 0x25, 0x00, 0x00, 0x00, 0x00, 0x83, 0xEC, 0x58, 0x53, 0x56, 0x57, 0x89; unsigned char CihSignature=0x55, 0x8D, 0x44, 0x24, 0xF8, 0x33, 0xDB, 0x64, 0x87, 0x03;,保护VirScan程序,首先，编写一个普通的DLL，该DLL将导出一个名字为DontAllowForDeletion的函数。 BOOL WINAPI DontAllowForDeletion(LPSTR Str) HANDLE hFile; if(hFile=CreateFile(Str, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_READONLY, NULL) =INVALID_HANDLE_VALUE) return FALSE; return TRUE; 然后，在VirScan的启动时，调用DLL的导出函数，实现对VirScan程序的保护。 DontAllowDeletion = (DLLFUNC *)GetProcAddress(hLib, “DontAllowForDeletion“); DontAllowDeletion(TmpPath); /TmpPath为VirScan在系统中的物理位置,病毒查找模块,查找前需要定位文件、定位PE入口 /查找Klez SetFilePointer(hFile, pCodeBytes+16, NULL, FILE_BEGIN); ReadFile(hFile, pBytes, sizeof(KlezSignature), ,/查找CIH病毒 SetFilePointer(hFile, pCodeBytes, NULL, FILE_BEGIN); ReadFile(hFile, pBytes, sizeof(CihSignature), 演示程序,2 计算机病毒的清除,清除病毒：将感染病毒的文件中的病毒模块摘除，并使之恢复为可以正常使用的文件的过程称为病毒清除. 杀毒的不安全因素： 清除过程可能破坏文件 有的需要格式化才能清除 清除的方法分类 引导型病毒的清除原理 文件型病毒的清除原理 特殊病毒的清除原理,引导型病毒的清除原理,引导型病毒感染时的破坏行为有： （1）硬盘主引导扇区。 （2）硬盘或软盘的BOOT扇区。 （3）为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区。 （4）引导型病毒发做，执行破坏行为造成种种损坏。 根据感染和破坏部位的不同，可以分以下方法进行修复：,第一种：硬盘主引导扇区染毒，是可以修复的。 （1）用无毒软盘启动系统。 （2）寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘中。将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。 第二种：硬盘、软盘BOOT扇区染毒也可以修复。 寻找与染毒盘相同版本的无毒系统软盘，执行SYS命令，即可修复。,第三种：引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根目录区，被覆盖的根目录区完全损坏，不可能修复。 第四种：如果引导型病毒将原主引导扇区或BOOT扇区覆盖式写入第一FAT表时，第二FAT表未破坏，则可以修复。 可将第二FAT表复制到第一FAT表中。 第五种：引导型病毒占用的其他部分存储空间，一般都采用“坏簇”技术和“文件结束簇”技术占用。这些被空间也是可以收回的。,文件型病毒的消毒原理,覆盖型文件病毒清除 该型病毒是一种破坏型病毒，由于该病毒硬性地覆盖掉了一部分宿主程序，使宿主程序被破坏，即使把病毒杀掉，程序也已经不能修复。 覆盖型外的文件病毒 原则上都可以被清除干净 根据感染的逆过程来清除,清除交叉感染病毒,交叉感染：有时一台计算机内同时潜伏着几种病毒，当一个健康程序在这个计算机上运行时，会感染多种病毒，引起交叉感染。 清除的关键： 搞清楚多种病毒的感染顺序 按感染先后次序的逆序清楚,感染顺序： 病毒1 -病毒2 -病毒3 在杀毒时： 病毒3 -病毒2 -病毒1,计算机病毒的清除方法,手工清除病毒的方法使用Debug、Regedit、SoftICE和反汇编语言等简单工具进行跟踪，清除的方法。 优点：可以处理新病毒或疑难病毒（Worm等） 缺点：需要高技术，复杂 自动清除病毒方法使用杀毒软件自动清除染毒文件中的病毒代码，使之复原。 优点：方便，易于普及 缺点：滞后、不能完全奏效,针对典型病毒的查杀方法,Outlook漏洞病毒的查杀 恶意代码查杀方法 宏病毒查杀方法 清除W32.Spybot.Worm蠕虫病毒,Outlook漏洞病毒的查杀,Outlook漏洞病毒的查杀原理很简单，只要在附件或邮件体中搜索特定代码就可以。 但邮件病毒查杀的关键是时效性，即实时拦截邮件并处理。 病毒引擎的位置： 服务器端（SMTP Server） 反垃圾邮件系统 客户端（Outlook, FoxMail）绑定 Add-in 客户端独立程序 各种杀毒软件、其他客户端反垃圾软件(邮件狗),服务器端技术,客户端绑定技术（Outlook为例）,1.引入三个对象 #import “C:Program FilesCommon FilesDesignermsaddndr.dll“ #import “D:Microsoft OfficeOfficeMso9.dll“ #import “D:Microsoft OfficeOfficeMsoutl9.olb“ 连接到Outlook, 监视一些事件,if(m_outlook.CreateInstance(_uuidof(Outlook:Application) = S_OK) Outlook:_InspectorsPtr inspectors; /获得inspectors if(m_outlook-get_Inspectors( ,当邮件在一个独立的窗口打开时，触发下列事件 void COutlooksampleDlg:NewInspector(IDispatch *disp) / 给该邮件一个事件 new CEventSink(*this,disp); ,/当邮件显示在预览窗口时 void CEventSink:SelectionChange() long count = 0; if(m_explorer != 0) Outlook:SelectionPtr ,WEB恶意代码查杀方法,恶意代码经常通过修改注册表和系统配置来破坏系统的正常操作，影响用户的正常使用。被这种病毒感染后，要设法修复被修改和禁用各个注册表项。 检查位置： 网关 客户端（魔法兔子等） 修复方法是： 首先新建一个文本文件，接着把扩展名改为reg； 然后，把恢复脚本填入该文件中； 最后，运行该文件就可以了。,网关技术,客户端技术,实时文件监控（杀毒软件） 禁止功能 例如，禁止3721 REGEDIT5 #B83FC273-3522-4CC6-92EC-75CC86678DA4 3721s CLSID HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX CompatibilityB83FC273-3522-4CC6-92EC-75CC86678DA4 “Compatibility Flags“=dword:00000400,修复脚本,REGEDIT4 /修复RUN按钮 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoRun“=dword:00000000 /修复关闭按钮 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoClose“=dword:00000000 /修复注销按钮 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoLogOff“=dword:00000000,/取消隐藏盘符 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoDrives“=dword:00000000 /取消禁止注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies System “DisableRegistryTools“=dword:00000000 /取消禁止运行DOS程序 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies WinOldApp “Disabled“=dword:00000001,/取消禁止进入DOS模式 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies WinOldApp “NoRealMode“=dword:00000001 /取消开机提示窗口标题 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon “LegalNoticeCaption“=“ /取消开机提示窗口信息 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon “LegalNoticeText“=“,/重设IE标题 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain “Window Title“=“Microsoft Internet Explorer“ HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Window Title“=“Microsoft Internet Explorer“ /重置IE起始页 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Start Page“=“,宏病毒查杀方法,方法1：用WordBasic语言以Word模板方式编制杀毒工具，在Word环境中杀毒。 优点：杀毒准确，兼容性好 缺点：适合手工，不宜商品化 方法2：根据WordBFF格式，在Word环境外解剖病毒文档（模板），去掉病毒宏。 缺点： 第一，容易将原文档破坏； 第二，很容易漏杀病毒； 第三，要不断地随着Word版本升级和病毒变化而改变程序。 易于商品化,杀毒和病毒入侵的原理完全相同 查找感染标记 -用新宏代替旧宏 病毒： 坏 -好 杀毒： 好 -坏 以Maker病毒为例 在Normal.dot的“ThisDocument”中加入以下代码：,Private Sub Document_Open() Dim SaveDocument, DocumentInfected As Boolean Dim ad As Object Dim strVirusName As String Dim intVBComponentNo As Integer 病毒感染标记(如果要扫描自己，用“&“连接字符串可以避免误判自己) 代码重用时，针对不同的病毒可修改以下两句 Const Marker = “- this is another“ & “ marker!“ strVirusName = “Marker“ 将病毒所作的安全修改回来 Options.VirusProtection = True 可能存在的宏代码数目 intVBComponentNo = ActiveDocument.VBProject.VBComponents.Count,For i =