Windows病毒分析.ppt

,张仁斌 李钢 侯整风 编著,计算机病毒与反病毒技术,清华大学出版社, 收集整理,主要内容,Wind32 PE病毒的基本原理 脚本病毒的基本原理及其防治 宏病毒的基本原理及其防治,第5章 Windows病毒分析,5.1.1 获取API函数地址,为什么要获取API函数地址 Win32程序一般运行在Ring 3级，处于保护模式 Win32下的系统功能调用，不是通过中断实现，而是通过调用动态连接库中的API函数实现 Win32 PE病毒和普通Win32 PE程序一样需要调用API函数实现某些功能，但是对于Win32 PE病毒来说，它只有代码节，并不存在引入函数节 病毒就无法象普通PE程序那样直接调用相关API函数，而应该先找出这些API函数在相应DLL中的地址,5.1 PE病毒原理,5.1.1 获取API函数地址,如何获取API函数地址 要获取API函数地址，首先需要获取KERNEL32的基地址 获取KERNEL32基地址的方法 利用程序的返回地址，在其附近搜索Kernel32模块基地址,5.1 PE病毒原理,5.1.1 获取API函数地址,另 外 也 可 以 采 用 以 下 方 法 ：,5.1 PE病毒原理,5.1.1 获取API函数地址,对相应操作系统分别给出固定的Kernel32模块的基地址 对于同一版本的Windows操作系统，Kernel32模块的地址是固定的，甚至一些API函数的大概位置都是固定的 获取API函数地址 在得到了Kernel32的模块地址以后，就可以在该模块中搜索所需要的API地址 对于给定的API，搜索其地址可以直接通过Kernel32.dll的引出表信息搜索，同样我们也可以先搜索出GetProcAddress和LoadLibrary两个API函数的地址，然后利用这两个API函数得到所需要的API函数地址,5.1 PE病毒原理,5.1.2 搜索感染目标文件,搜索文件是病毒寻找目标文件的非常重要的功能 在Win32汇编中，通常采用如下几个API函数进行文件搜索 FindFirstFile 根据文件名查找文件 FindNextFile 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件 FindClose 用来关闭由FindFirstFile函数创建的一个搜索句柄,5.1 PE病毒原理,5.1.2 搜索感染目标文件,文件搜索算法 文件搜索一般采用递归算法进行搜索，也可以采用非递归搜索方法,5.1 PE病毒原理,5.1.3 内存映射文件,内存映射文件提供了一组独立的函数，是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问 这组内存映射文件函数将磁盘上的文件的全部或者部分映射到进程虚拟地址空间的某个位置，以后对文件内容的访问就如同在该地址区域内直接对内存访问一样简单 对文件中数据的操作便是直接对内存进行操作，大大地提高了访问的速度，这对于计算机病毒来说，对减少资源占用是非常重要的,5.1 PE病毒原理,5.1.3 内存映射文件,使用内存映射文件读写文件 在计算机病毒中，通常采用如下几个步骤： 调用CreateFile函数打开想要映射的HOST程序，返回文件句柄hFile 调用CreateFileMapping函数生成一个建立基于HOST文件句柄hFile的内存映射对象，返回内存映射对象句柄hMap 调用MapViewOfFile函数将整个文件(一般还要加上病毒体的大小)映射到内存中。得到指向映射到内存的第一个字节的指针(pMem) 用刚才得到的指针pMem对整个HOST文件进行操作，对HOST程序进行病毒感染 调用UnMapViewFile函数解除文件映射，传入参数是pMem 调用CloseHandle来关闭内存映射文件，传入参数是hMap 调用CloseHandle来关闭HOST文件，传入参数是hFile,5.1 PE病毒原理,5.1.4 病毒感染PE文件的基本方法,感染文件的基本步骤 (1)判断目标文件开始的两个字节是否为“MZ”； (2)判断PE文件标记“PE”； (3)判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续； (4)获得Directory(数据目录)的个数，每个数据目录信息占8个字节； (5)得到节表起始位置：Directory的偏移地址+数据目录占用的字节数=节表起始位置； (6)得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)： 节表起始位置+节的个数(每个节表占用的字节数28H)=目前最后节表的末尾偏移,5.1 PE病毒原理,5.1.4 病毒感染PE文件的基本方法,(7)开始写入节表 写入节名(8字节)； 写入节的实际字节数(4字节)； 写入新节在内存中的开始偏移地址(4字节)，同时可以计算出病毒入口位置： 上节在内存中的开始偏移地址+(上节大小/节对齐+1)节对齐=本节在内存中的开始偏移地址； 写入本节(即病毒节)在文件中对齐后的大小； 写入本节在文件中的开始位置： 上节在文件中的开始位置+上节对齐后的大小=本节(即病毒)在文件中的开始位置； 修改映像文件头中的节表数目,5.1 PE病毒原理,5.1.4 病毒感染PE文件的基本方法,修改AddressOfEntryPoint(即程序入口点指向病毒入口位置)，同时保存旧的AddressOfEntryPoint，以便返回HOST继续执行。 更新SizeOfImage(内存中整个PE映像尺寸=原SizeOfImage+病毒节经过内存节对齐后的大小)； 写入感染标记(后面例子中是放在PE头中)； 写入病毒代码到新添加的节中： ECX=病毒长度 ESI=病毒代码位置(并不一定等于病毒执行代码开始位置) EDI=病毒节写入位置(后面例子是在内存映射文件中的相应位置) 11将当前文件位置设为文件末尾。 PE病毒感染其他文件的方法还有很多，譬如将自己分散插入到每个节的空隙中,5.1 PE病毒原理,5.1.4 病毒感染PE文件的基本方法,文件操作相关API函数 CreateFile 打开和创建文件等 CloseHandle SetFilePointer 在一个文件中设置当前的读写位置 ReadFile/ WriteFile 从文件中读取数据/将数据写入文件 SetEndOfFile 针对一个打开的文件，将当前文件位置设为文件末尾 GetFileSize 获取指定文件的大小 FlushFileBuffers 针对指定的文件句柄，刷新内部文件缓冲区,5.1 PE病毒原理,5.1.5 病毒返回到HOST程序的方法,为了提高自己的生存能力，病毒不应该破坏HOST程序，病毒应该在病毒执行完毕后，立刻将控制权交给HOST程序 返回HOST程序相对来说比较简单，病毒在修改被感染文件代码开始执行位置(AddressOfEntryPoint)时，会保存原来的值。这样，病毒在执行完病毒代码之后用一个跳转语句跳到这段代码处继续执行即可,5.1 PE病毒原理,5.1.6 PE概念病毒感染分析,感染PE文件的概念性病毒Immunity.exe不驻留内存，也没有采用加密、压缩、变形等“高深”技术 启动时首先获取所需API函数的地址 然后在当前目录查找host_pe.exe文件，若没有找到，则在Windows目录、System/System32目录下继续查找，为了便于测试，示例代码只在当前目下查找 找到host_pe.exe后，判断是否是PE文件、是否已感染等，若条件满足，则在host_pe.exe中添加名为.BFish的节，并将病毒代码写入其中，然后修改文件头，使入口地址指向刚添加的节，最后，将全部节未对齐大小设置为对齐后的大小，制造不存在空洞的假象，从而达到避免被CIH病毒寄生感染的免疫目的,5.1 PE病毒原理,5.1.6 PE概念病毒感染分析,Immunity的主流程图,5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,将host_pe.exe与Immunity.exe拷贝到同一个目录，并运行Immunity.exe Immunity感染host_pe.exe，使其文件大小增加4096字节，除此之外，文件修改日期等“外在”属性不变 为了便于比较分析，将被感染后的host_pe.exe重命名为host_pe2.exe,5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,感染前后，节表发生的变化,5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,感染前后，映像文件头发生的变化,5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,感染前后，可选映像头发生的变化,5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,手工清除Immunity病毒 首先，利用工具软件删除病毒添加的节，或节中的部分内容(分布在正常内容中的病毒代码),5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,修改入口地址，使其指向.text代码节 (病毒代码仍然在host_pe.exe文件中)。感染标志、可选映像头中MajorLinkerVersion等，需另行修改,5.1 PE病毒原理,5.1.7 示例病毒感染测试与手工修复,彻底“摘除”host_pe2.exe中的“垃圾”代码,5.1 PE病毒原理,5.1.8 CIH病毒分析,病毒简介 CIH病毒是一种文件型病毒，又称Win95.CIH、Win32.CIH、PE_CIH，是感染Windows 95/98环境下PE格式文件的病毒 CIH病毒一共有五个版本，目前最流行的是V1.2版 CIH病毒没有改变宿主文件的大小，而是利用“空洞”，将病毒化整为零，拆分成若干块，插入到宿主文件中 查找CIH病毒的最简单方法就是用资源管理器中“工具查找文件或文件夹”的“高级包含文字”，以特征字符串“CIHv”查找所有.EXE CIH病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码，造成主机无法启动 CIH病毒首开攻击计算机硬件之先河，也开启了Windows病毒的新纪元,5.1 PE病毒原理,5.1.8 CIH病毒分析,VxD技术简介 VxD(Virtual Device Drivers，虚拟设备驱动)，是微软专门为Windows制定的设备驱动程序接口规范 有很多应用软件都需要使用VxD机制来实现某些比较特殊的功能 因为VxD程序具有比其他类型应用程序更高的优先级，而且更靠近系统底层资源只有这样，反病毒软件才有可能全面、彻底地控制系统资源 CIH病毒利用VxD技术、通过Windows 9x的异常处理机制(Exception)进入系统Ring0级。在应用程序下故意产生一个异常，并修改IDT表(中断地址表)中的处理程序地址，使其指向病毒代码，再显式进入此异常(主要为直接调用INT 3H中断)，就可以申请系统共享内存将病毒驻留,5.1 PE病毒原理,5.1.8 CIH病毒分析,CIH病毒的驻留(初始化) 当运行感染了CIH病毒的PE文件时，由于该病毒修改了该程序的入口地址，从而首先调入内存执行，其驻留主要过程： 用SIDT指令取得IDT base address(中断描述符表基地址)，然后把IDT的INT 3H 的入口地址改为指向CIH自己的INT 3H程序入口部分； 执行INT 3H指令，进入CIH自身的INT 3H入口程序，这样，CIH病毒就可以获得Windows最高级别的权限Ring 0。病毒在这段程序中首先检查调试寄存器DR0的值是否为0，用以判断先前是否有CIH病毒已经驻留； 如果DR0的值不为0，则表示CIH病毒程式已驻留，病毒程序恢复原先的INT 3H入口，然后正常退出INT 3H，跳到过程； 如果DR0值为0，则CIH病毒将尝试进行驻留；,5.1 PE病毒原理,5.1.8 CIH病毒分析,如果内存申请成功，则从被感染文件中将原先分成多块的病毒代码收集起来，并进行组合后放到申请到的内存空间中 再次调用INT 3H中断进入CIH病毒体的INT 3H入口程序，调用INT 20H来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序，在Windows内核中文件系统处理函数中挂接钩子，以截取文件调用的操作，这样一旦系统出现要求开启文件的调用，则CIH病毒的传染部分程序就会在第一时间截获此文件； 将同时获取的Windows操作系统默认的IFSMgr_Ring0_FileIO(核心文件输入/输出)服务程序的入口地址保留在DR0寄存器中，以便于CIH病毒调用； 恢复原先的IDT中断表中的INT 3H入口，退出INT 3H； 根据病毒程序内隐藏的原文件的正常入口地址，跳到原文件正常入口，执行正常程序,5.1 PE病毒原理,5.1.8 CIH病毒分析,CIH病毒的感染 CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows 内核底层函数IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序，其感染过程如下： 文件的截获。每当系统出现要求开启文件的调用时，驻留内存的CIH病毒就截获该文件。病毒调用INT20的VxD call UniToBCSPath系统功能调用取回该文件的名称与路径； EXE文件的判断。对该文件名进行分析，若文件扩展名不为“.EXE”或不满足PE格式、尚未感染等条件，不传染，离开病毒程序，跳回到Windows内核的正常文件处理程序上,5.1 PE病毒原理,5.1.8 CIH病毒分析,病毒的寄生方法,5.1 PE病毒原理,感染CIH病毒之前的PE文件,感染CIH病毒之后的PE文件,5.1.8 CIH病毒分析,写入病毒 病毒程序将计算出了病毒的分块、长度和插入到文件的位置等参数用PUSH指令压入栈中。在计算完所有病毒存放位置后，才从栈中POP出进行写盘操作 写盘的步骤是：以逆序将各块病毒写入文件各节相应的自由空间中；将病毒首块写入文件头自由空间内；将病毒块链表指针区写入文件头；将修改后的节表写回文件；将修改后的PE 文件头和 PE可选文件头写回文件并置病毒感染标志，将IFSMgr_Ring0_FileIO程序的第一个字节(通常是55h=U，即PUSH EBP的操作代码)写到PE文件标识符“PE”的前一地址内(原为00h)，即“00PE0000”改为“UPE0000”。 病毒读入文件和写入文件都是通过调用系统内核的IFSMgr_Ring0_FileIO的读(EAX=0000D600)和写(EAX=0000D601)功能实现的。 病毒源代码与分析,5.1 PE病毒原理,5.2.1 WSH简介,WSH是Windows Scripting Host(Windows脚本宿主)的缩略形式,是一个基于32位Windows平台、并独立于语言的脚本运行环境，是一种批次语言/自动执行工具 文件名为WScript.exe(若是在DOS命令提示符下，则为CScript.exe，命令格式：CScript FileName.vbs) WScript.exe使得脚本可以被执行，就象执行批处理一样 在WSH脚本环境里，预定义了一些对象，通过这些内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能,5.2 脚本病毒,5.2.1 WSH简介,如果用regsvr32 scrrun.dll /u禁止了文件系统对象，在执行包含脚本的则提示失败,5.2 脚本病毒,5.2.1 WSH简介,访问文件系统,5.2 脚本病毒,5.2.1 WSH简介,访问注册表,5.2 脚本病毒,5.2.1 WSH简介,5.2 脚本病毒,5.2.2 VBS脚本病毒的特点,VBS脚本病毒具有如下几个特点： 编写简单 破坏力大 感染力强 传播范围大 病毒源码容易被获取，变种多 欺骗性强 使得病毒生产机实现起来非常容易,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,VBS脚本病毒搜索、感染文件的方法 文件感染的部分关键代码,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,文件搜索代码,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,VBS脚本病毒通过网络传播的几种方式及代码分析 通过Email附件传播,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,通 过 局 域 网 共 享 传 播,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,通过感染htm、asp、jsp、php等网页文件传播 病毒之所以能够在htm文件中发挥强大功能，是因为其采用了和绝大部分网页恶意代码相同的原理。它们采用了相同的代码，不过也可以采用其它代码，这段代码是病毒FSO、WSH等对象能够在网页中运行的关键 通过IRC聊天通道传播 病毒通过IRC(Internet Relay Chatting, Internet在线聊天系统)传播一般来说采用以下代码,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,VBS脚本病毒如何获得控制权 修改注册表项 通过映射文件执行方式 欺骗用户，让用户自己执行 desktop.ini和folder.htt互相配合,5.2 脚本病毒,5.2.3 VBS脚本病毒原理分析,VBS脚本病毒对抗反病毒软件的几种技巧 自加密 巧妙运用Execute函数 改变某些对象的声明方法 直接关闭反病毒软件,5.2 脚本病毒,5.2.4 网页背后的秘密,网页病毒的真相 VBS病毒可以通过网页文件进行传播 在网页中嵌入脚本，原本是为了增强网页的功能与实用性，却被别有用心的人用于非法目的 网页病毒(或称恶意网页)，就是利用软件或系统平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的脚本语言、Java Applet小应用程序等网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序,5.2 脚本病毒,5.2.4 网页背后的秘密,5.2 脚本病毒,5.2.4 网页背后的秘密,网页病毒的特点 用户一旦浏览含有病毒的网页，即可以在毫无察觉的情况下立即感染该病毒，从而对系统造成不同程度的破坏 默认主页被修改 主页设置被屏蔽锁定，设置选项无效不可更改 默认的IE搜索引擎被修改 IE标题栏被添加非法信息 Outlook Express标题栏被添加非法信息 鼠标右键菜单被添加非法网站链接 鼠标右键弹出菜单功能被禁用 IE收藏夹被强行添加非法网站的地址链接 在IE工具栏非法添加按钮 锁定地址栏的下拉菜单并添加文字信息 IE菜单“查看”下的“源文件”项被禁用 以上均是网页病毒的“一般”表现；更恶意的网页则破坏文件系统，或自动安装木马程序，等等,5.2 脚本病毒,5.2.5 VBS脚本病毒的防范,VBS脚本病毒具有如下弱点： 绝大部分VBS脚本病毒运行的时候需要用到一个对象：FileSystemObject VB Script代码是通过WSH来解释执行的 VBS脚本病毒的运行需要其关联程序Wscript.exe的支持 通过网页传播的病毒需要ActiveX的支持 通过Email传播的病毒需要OutlookExpress的自动发送邮件功能支持，但是绝大部分病毒都以Email为主要传播方式,5.2 脚本病毒,5.2.5 VBS脚本病毒的防范,针对以上提到的VBS脚本病毒的弱点，可以采用如下集中防范措施： 禁用文件系统对象FileSystemObject 卸载WSH 删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 将WScript.exe更改名称或者删除 自定义安全级别，把与“ActiveX控件及插件”有关的一切设为禁用 禁止OutlookExpress的自动收发邮件功能 显示扩展名，避免病毒利用文件扩展名作文章 将系统的网络连接的安全级别设置至少为“中等” 安装、使用杀毒软件,5.2 脚本病毒,5.2.6 爱虫病毒分析,病毒简介 “爱虫”(VBS.LoveLetter) 别名LoveLetter、LoveBug、VeryFunny 采用VB Script编制，它通过Microsoft Outlook将名称为“LOVELETTERFORYOU.TXT.vbs”的邮件发送给用户地址簿里所有的地址 也可以产生Script.ini文件，将包括病毒的LOVELETTERFORYOU.HTM文件，通过mIRC蔓延到Internet聊天室中 病毒还有多个发作破坏模块，查找本地驱动器和网络驱动器，并在所有目录和子目录中搜索可以感染的目标，能够感染如下扩展名的文件：.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、.html、.xls、.ini、.bat、.com、.mp3和.mp2等，它用病毒代码覆盖文件原有的内容，并在文件名后面添加.vbs的后缀名，从而取代宿主文件。.mp2和.mp3文件被隐藏起来，实际上并未毁坏,5.2 脚本病毒,5.2.6 爱虫病毒分析,一旦病毒运行，将会在系统中留下以下文件： windowsWin32DLL.vbs systemMSKernel.vbs systemLOVE-LETTER-FOR-YOU.TXT.vbs 病毒修改注册表中的一些路径以便在启动Windows时运行 在windowssystem下搜索名为WINFAT32.exe的文件，如果该文件不存在，则修改IE的默认初始页面下载WIN-BUGSFIX.exe文件，并修改注册键值为：HKLMSoftware Microsoft Windows CurrentVersionRunWIN-BUGSF IX,5.2 脚本病毒,5.2.6 爱虫病毒分析,病毒的解毒步骤 将wscript该文件“结束任务” MSCONFIG.EXE进入“启动”菜单，将所有的后缀为*.vbs的文件选择为禁用状态 重新启动电脑 查找一个WIN-BUGFIX.exe的文件并删除它，如果安装了mIRC的话删除你的script.ini文件，删除含LOVE-LETTER-FOR-YOU.TXT附件的Email 打开注册表编辑并且删除下列键值： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServerWin32DLL HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWIN_BUGSF IX,5.2 脚本病毒,5.2.6 爱虫病毒分析,病毒各模块功能介绍 Main() 主模块，它集成调用其他各个模块 regruns() 该模块主要用来修改注册表Run下面的启动项指向病毒文件、修改下载目录，并负责随机从给定的4个网址中下载WIN_BUGSFIX.EXE文件，并使启动项指向该文件 html() 生成LOVE-LETTER-FOR-YOU.HTM文件，该HTM文件执行后会执行里面的病毒代码，并在系统目录生成一个病毒副本MSKernel32.vbs文件 spreadtoemail() 将病毒文件作为附件发送给Outlook地址簿中的所有用户 listadriv() 搜索本地磁盘，并对磁盘文件进行感染,5.2 脚本病毒,5.3.1 宏病毒简介,宏病毒是使用宏语言编写的恶意程序，存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中 宏病毒在某种系统中能否存在，首先需要这种系统具有足够强大的宏语言，这种语言至少要有下面几个功能： 一段宏程序可以附着在一个文档文件后面 宏程序可以从一个文件复制到另外一个文件 存在一种宏程序可以不需用户的干预而具有自动执行的机制 宏病毒可以细分为很多种，如Word、Excel、Access、PowerPoint、Viso等都有相应的宏病毒,5.3 宏病毒,5.3.2 宏病毒的基本原理,宏，译自英文单词Macro 所谓宏，就是软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成类似批处理命令的多行代码的集合，即宏 为了方便人们的使用，Word定义出一种文件格式，将文档，以及该文档所需要的宏合在一起放在后缀为.dot的文件之中。正因为这种是宏也是资料的文档格式，便产生了宏感染的可能性,5.3 宏病毒,5.3.2 宏病毒的基本原理,5.3 宏病毒,示例宏HelloVBA的运行结果,5.3.2 宏病毒的基本原理,控制权的获取 用户使用Word执行打开文档、保存文档、打印文档和关闭文档等操作时，Word会查找指定的“内建宏” 关闭文档之前查找“FileSave”宏，如果存在，首先执行这个宏 打印文档之前首先查找“FilePrint”宏，如果存在则执行这个宏 Word中另外还有一些以“Auto”开始的宏，如“AutoOpen”、“AutoClose”等，如果建立了这些宏，打开/关闭文档的时候将自动执行这些宏，这些宏一般是全局宏，对任何Word文档都有效。病毒触发要隐含在正常的操作中，这些自动执行的宏当然是最好的宿主,5.3 宏病毒,5.3.2 宏病毒的基本原理,以“Auto”开始、可以在适当的时候自动执行的宏,5.3 宏病毒,5.3.2 宏病毒的基本原理,宏病毒的自我隐藏 基本的隐藏措施,5.3 宏病毒,5.3.2 宏病毒的基本原理,屏蔽一些命令菜单功能 使菜单按钮失效(测试验证如下代码之前，应备份Normal.DOT，以便恢复被删除的菜单项) 改变宏编辑器窗口字体的颜色使之与背景均为白色 为了避免被杀毒软件检测出来，一些宏病毒使用了和多态病毒类似的方法来隐藏自己,5.3 宏病毒,5.3.2 宏病毒的基本原理,宏病毒的传播方式 在Word或其他Office程序中，宏分成两种 在某个文档中包含的内嵌宏，如FileOpen宏 属于Word应用程序，所有打开的文档公用的宏，如AutoOpen宏 Word宏病毒一般都首先隐藏在一个指定的Word文档中，一旦打开了这个Word文档，宏病毒就被执行，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得所有打开的文档都可使用这个宏 当Word退出的时候，全局宏将被存储在某个全局的模板文档(.dot文件)中，这个文件的名字通常是“normal.dot”，即normal模板 如果全局宏模板被感染，则Word再启动的时候将自动载入宏病毒并且自动执行,5.3 宏病毒,5.3.2 宏病毒的基本原理,5.3 宏病毒,宏病毒的工作机理,5.3.2 宏病毒