【实验目的】
1) 了解宏病毒
2) 学习宏病毒的查杀方法
【实验原理】
宏病毒是使用宏语言(VBA)编写的恶意程序,存在于字处理文档、电子数据表格、数据库等数据文件中,例如office数据处理系统中运行,利用宏语言的功能将自己复制、繁殖到其他数据文档中。
宏分成两种:一种是在某个文档中包含的内嵌宏,如fileopen宏;另一种是属于word应用程序,所有打开文档公用的宏,如autoopen宏。
Word宏病毒一般都首先隐藏在一个指定的word文档中,一旦打开了这个word文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己copy到全局宏的荡然区域,使得所有打开的文档都可以使用这个宏。这个文件的名字通常是“Normal.DOT”,即通用模板。 一般来说,宏病毒通过感染office文档或模板文档来传播自己。
病毒在获得第一次控制权之后,就会将自己写入到word模板normal.dot。这样,以后每次在word中执行打开等操作时,就会调用病毒代码,并且将病毒代码写到刚打开或新建的文档中,以达到感染传播的目的。另外,宏病毒还可以通过email附件进行传播,如梅丽莎病毒。
【实验环境】
Windows 2008 R2(单机)
Word 2003
【实验步骤】
一、宏的相关设置
1.1 进入桌面上的【tools】-->【计算机病毒】-->【宏病毒】文件夹,打开【文档1.doc】
1.2 打开菜单栏的【工具】-->【选项】-->【安全性】,即可看到【宏安全性】按钮。
1.3 点击【宏安全性】,设置安全级为【低】
1.4 点击【可靠发行商】,勾选【信任所有安装的加载项和模板】和【信任对于“Visual Basic 项目”的访问】
二、宏病毒的植入
2.1 使用快捷键【alt+F11】或者点击【工具】-->【宏】-->【Visual Basic 编辑器】。
2.2 Visual Basic 编辑器主界面
2.3 打开同一目录下的【简单宏病毒源码.txt】,将文档中的所有代码复制【Visual Basic 编辑器】的【Project(文档1)】下的【Microsoft Word 对象】的【ThisDocument】。
2.4 点击【保存】。注意,此时【Normal】下的【Microsoft Word 对象】的【ThisDocument】并没有任何代码。
2.5 关闭文档,打开【文档2.doc】,会弹出如下窗口,说明宏病毒植入成功
三、宏病毒手工查杀
3.1 两个文档需要同时打开,打开宏的【安全性】,设置【安全级】为【非常高】。
3.2 点击【可靠发行商】,取消下方的勾选,点击【确定】,保存文档。
3.3 打开【Visual Basic 编辑器】,将宏代码删除掉,点击【保存】。
3.4 在C盘中搜索【normal.dot】,并删除之。
3.5 点击文档,则可以正常打开。