宏病毒原理及实现PPT学习课件

1、宏病毒1、2、8/2/2020宏的原理和实现是由软件设计人员设计的一种工具，用于在使用软件时避免重复相同的操作。它使用简单的语法将常见的动作写成宏，当它再次工作时，它可以直接使用预先编写的宏自动运行来完成特定的任务，而无需重复相同的动作。什么是“宏”？微软办公，wps等办公软件，魔兽世界，王剑等游戏，哪里用“宏”？办公宏的定义：宏在微软word中的定义是：“宏是一系列Word命令，可以组织在一起，作为一个独立的命令使用，可以使日常工作更容易”，3，8/2/2020，宏语言，即VISUAL BASIC FOR APPLICATION，简称VBA。VBA可以访问许多操作系统功能，并支持打开文档时自

2、动执行宏，这使得用这种语言编写计算机病毒成为可能。4，8/2/2020，Office版本及其宏语言，5，8/2/2020，6，Office自带Visual Basic编辑器，注意： 1。调用VB编辑器的快捷方式：Alt F11 2。查看宏的快捷方式：Altf8。您可以点击：在Office 2007中查看宏编辑，2020年8月2日，VBA简介。直到20世纪90年代初，自动化应用仍然是一个具有挑战性的领域。对于每个需要自动化的应用程序，人们必须学习不同的自动化语言。例如，使用EXCEL宏语言来自动化EXCEL，并使用WORD BASIC来自动化WORD。微软开发的应用程序共享一种通用的自动化语言应

3、用程序的Visual Basic(VBA)。事实上，VBA是一个寄生在VB应用程序上的版本。VB是一个设计用来创建标准的应用程序，而VBA自动化了现有的应用程序(EXCEL等)。)。7，8/2/2020，Word创建了宏，Word提供了两种创建宏的方法：宏记录器和Visual Basic编辑器。宏记录器帮助用户开始创建宏。Word将宏记录为VBA编程语言中的一系列Word命令。您可以在Visual Basic编辑器中打开录制的宏，并修改其说明。您还可以使用Visual Basic编辑器创建非常灵活和强大的宏，包括无法录制的Visual Basic指令。8，8/2/2020，VBA编程基于wor

4、d，Sub自动打开()定义了函数名，AutoXXX是恶意代码的自动宏，而True，和无休止的循环Msgbox Hello world 调用对话框显示消息Wend End Sub函数在此结束，9，8/2/2020，VBA编程基于word，Sub自动打开()命令。标题=外壳c:程序文件互联网ExplorerIEXPLORE.EXE vbnormalfocus为我=1至10个文件。添加新的word文档下一步我结束Sub，调用操作系统外壳函数，打开安装的应用程序，10，8/2/2020，office有一个宏，宏在Office的什么地方？11，8/2/2020，为了方便人们使用宏和传输宏文件，Word定

5、义了一种文件格式，它把文档和宏所需的文档放在一个带有后缀的文件中。多特。因为这种文档格式既是宏又是数据，所以出现了宏感染的可能性。但是，普通点不能用于存储数据，每次修改后需要单独保存。有没有既能存储宏又能存储数据的文档格式？2020年8月12日。1.模板文件格式：点文档：模板文档，新文档继承模板的属性(宏、菜单、格式等)。)。Normal.dot文件：全局模板作为构建整个文档的基类，是新文档的默认模板。二是数据文件格式。doc是一个可以存储宏的通用文档；docx是不包含宏的普通文档；docm包含宏或启用了宏的文档；dotx是不包含宏的模板；dotm包含宏或启用了宏的模板。13、8/2/2020

6、、宏可以将宏文件与office文档中的普通文档一起传播。编写代码很简单，传播也更简单。我们能做点别的吗？14，8/2/2020，事实上，宏病毒的出现并不出人意料，专家早在20世纪80年代末就预测到了它。当时，一些学生用一些应用程序的宏语言编写病毒。然而，与普通病毒不同，宏病毒不会感染。EXE或。组件文件，但仅限于文档文件。宏病毒就像自然界中令人恐惧的龙卷风，给人们正常使用计算机进行学习和工作带来了不可估量的影响，也造成了社会财富的巨大浪费。15，8/2/2020，1。概念宏病毒，世界上第一个宏病毒概念可以感染微软视窗和苹果电脑上的Word文档。这种病毒是用微软Word 6.0的宏语言编写的，但

7、是它也可以感染由Word的其他版本创建的文档。概念宏病毒似乎是为了证明它可以用宏编程语言编写而编写的。因此，概念宏病毒只显示一个对话框来声明它的存在，而不是故意破坏磁盘上的任何文件。16，8/2/2020，2核宏病毒这是一种可以破坏操作系统文件和打印输出的宏病毒。宏病毒包含以下病毒宏：autoexec自动打开微滴文件退出文件打印文件打印默认文件保存，因为这些宏是只执行的宏。核宏病毒造成的损害如下：(1)当一个被感染的文件被打开打印时，它会添加“停止在太平洋的核分裂！”当打印速度在每分钟55秒到60秒之间时，就会出现这种现象。(2)如果每天17:0018336000之间打开一个被感染的文档，核病

8、毒会将PH33R病毒感染到计算机上，这是一种常驻病毒。(3)每年4月5日，病毒将清除IO。系统和物料安全数据表。系统文件，并删除命令。在c盘的根目录下。一旦病毒爆发，MSDOS将无法启动，计算机将瘫痪。2020年8月2日17日3台1号病毒将在每月13日影响您对Word文档和编辑器的正常使用。它包含以下病毒宏：“自动关闭”、“自动查看”和“自动打开”，它们是可编辑的宏。病毒宏包含以下语句：if day(Now()=13天.这个声明与第13天有关。台湾一号病毒造成的危害是，每个月的13号，如果用户用Word打开一个中毒的文档(模板)，病毒就会被触发。激发现象是：屏幕中央会弹出一个对话框，提示用户做

9、一道心算题。如果出错，它将无限期地打开文件，直到Word内存不足并且Word出错；如果心算问题是正确的，用户将被提示“什么是宏病毒？”，回答“我是宏病毒”，然后提示用户：“如何防止宏病毒？”答案是“不要看着我”。18，2.1宏病毒简介，什么是宏病毒？宏病毒是一种存在于文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏将被自动执行，因此宏病毒将被激活，转移到计算机并驻留在普通模板上。此后，所有自动保存的文档都将被这种宏病毒“感染”，如果其他用户打开被感染的文档，宏病毒将被转移到他的计算机上。19，8/2/2020，宏病毒的特征，(1)宏病毒会传染。DOC文档和。DOT模板文件。(2)宏病

10、毒感染通常是当WORD打开带有宏病毒的文档或模板时，它激活了宏病毒。(3)大多数宏病毒包括自动打开、自动丢失、自动查看和自动退出等自动宏，文档(模板)的操作权限由这些自动宏病毒获得。(4)宏病毒总是包含用于读取和写入文档的宏命令。(5)该病毒原理简单，制作方便。(6)传播速度相对较快。，20，8/2/2020，Word宏病毒生命周期，21，8/2/2020，编程语言：VBE，WordBasic等。运行环境：VBE，Word宏病毒感染过程，22，8/2/2020，宏病毒原理的秘密，23，8以office2003为例，如果应用。版本“11.0”则判定office版本strfullname=此工作簿

11、。fullname获取当前工作簿的全名。xls。VBS)临时文件VBS集的文件名。shell )创建wscript对象Err。ClearOn错误恢复下一个错误没有提示，继续注册表=，24，8/2/2020，HKEY _ Current _ user software Microsoft Office 11.0 Word安全级别“Excel vba安全级别位置在注册表中ret=WSH。如果出现错误，请读取当前安全级别。数字0然后判断阅读是否成功。只有在关键时刻，基恩杰森才能退出。如果当前的Excel VBA安全级别不是“低”，则设置为“低”。值1-4分别对应于：低、中和高。如果val (ret)

12、 1，则ret=wsh，则非常高。regwrite (regstr，1，reg _ dword) end if，25，8/2/2020，1。当用户使用Word打开、保存、打印和关闭文档时，Word将查找指定的标准宏：示例1:在关闭文档之前查找“文件保存”宏，如果它存在，请先执行它。示例2:在打印文档之前查找“文件打印”宏，如果它存在，就执行它。2.有些宏(自动宏)在Word中以“自动”开头，如“自动打开”、“自动关闭”等。如果建立，病毒触发应该隐含在正常操作中，并且这些自动执行的宏是最好的宿主。2，文档控制权限获取，26，8/2/2020，宏病毒常用的宏如下表所示，27，8/2/2020，聪明

13、的病毒编写者会做很好的自我保护工作，这可以使word中的一些工具栏失效，如屏蔽工具菜单中的宏选项或修改注册表以达到良好的隐藏效果。常见代码示例：出错时继续下一步。如果出现错误，错误窗口将不会弹出。继续执行以下语句：应用程序。displayalert=wdalersnoe不会弹出警告窗口：应用程序。enablecancelkey=wdcanceledisabled。不允许结束正在运行的宏应用程序。不显示状态栏以避免显示宏的运行状态。应用程序。屏幕更新=False请勿刷新屏幕，以免病毒操作导致刷新速度变慢。选项。病毒防护=假关闭病毒防护功能。如果运行前包含宏，不要提示选项。保存正常提示=假如果公共

14、模板被修改，直接保存而不提示用户。3.宏病毒的自我隐藏。28，8/2/2020，1。Word宏病毒通常首先隐藏在指定的Word文档中。打开此Word文档后，将执行宏病毒。宏病毒应该做的第一件事是将自己复制到全局宏2。当Word退出时，全局宏将存储在全局模板文档中()。点文件)。该文件的名称通常为“普通点”，即普通模板。如果全局宏模板被感染，宏病毒将自动加载，并在Word重新启动时自动执行。4，传播和感染，29，8/2/2020，1)获取操作文档的代码对象和公共模板的代码对象。我们的代码=此文档。VBProject . VBComponents(1). code module . line(1，100) Set Host=NormalTemplate。VBProject.VBComponents(1)。代码模块如果此文档=普通模板，则设置host=active document . VB project . VB components(1)。代码模块结束如果，2)检查模板是否感染病毒，如果没有，将宏病毒代码复制到模板并修改函数名。与主机如果。线(1，1)月光然后。删除行1，行数。插入第3行，子文档_关闭()如果此文档=正常模板，则。RbeplaceLine 3，Subdocument