3-3-1宏病毒分析.ppt

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3-3 宏病毒防治 宏病毒特点与检测 宏病毒简介 宏病毒清除与预防 第一讲 宏病毒分析 计算机病毒与防治课程小组 宏操作示例 宏病毒简介 计算机病毒与防治课程小组 宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。 宏病毒，就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。 宏病毒简介 OFFICE提供了两种创建宏的方法----宏录制和Visual Basic编辑器 宏病毒简介 计算机病毒与防治课程小组 1)在用WORD处理文档时，需要同时进行各种不同的动作，每一种动作其实都对应着特定的宏命令。 2)当建立一个文档时，系统首先打开一个通用模版文件，如NORMAL.DOT，其中存放了一些新文档的初始化宏程序。 3)在处理文档时，WORD总要进行某些宏的操作，须执行模版上有标准名称的宏程序。 4)病毒包含在宏中时，只要染毒的文件被打开，病毒的宏程序就可能会被执行，进而取得系统控制权，进行感染和破坏。 5)为了能广泛地传播，宏病毒大都采用感染通用模版NORMAL.DOT的方法将自己复制到其它文档中去。 宏病毒的工作原理（以Word为例） 宏病毒特点 计算机病毒与防治课程小组 （1）宏病毒会感染.DOC文档和.DOT模版文件。 （2） 宏病毒的传染通常是WORD在打开一个带宏病毒的文档或模版时，激活宏病毒。 （3）多数宏病毒包含A U T O O P E N 、A U T O C L O S E 、AUTONEW 和AUTOEXIT 等自动宏，通过这些自动宏病毒取得文档(模版)操作权。 （4）宏病毒中总是含有对文档读写操作的宏命令。 （5）病毒原理简单，制作比较方便。 （6）传播速度相对较快。 宏病毒特点 宏病毒检测 计算机病毒与防治课程小组 宏病毒离不开可供其运行的系统软件(WORD，EXCEL 等OFFICE 软件)，所以宏病毒的检测其实非常容易。只要留意一下常用的OFFICE 系统软件是不是出现了一些不正常的现象，就能大概知道计算机是不是染上了宏病毒。 （1）通用模版中出现宏。 （2）无故出现存盘操作。 （3）WORD功能混乱，无法使用。 （4）WORD菜单命令消失。 （5）WORD文档的内容发生变化。 （6）尝试保存文档时，只允许将文档保存为文档模版的格式。 （7）文档图标的外形类似模板而非文档图标。 宏病毒检测 宏病毒清除 计算机病毒与防治课程小组 感染了宏病毒后，同样可以用防治计算机病毒的软件来查杀，亦可采用以下方法进行手工处理： 1、通过删除宏命令的形式删除宏病毒。 2、通过复制粘贴方式清除宏病毒。 3、通过删除NORMAL.DOT来除掉Word宏病毒。 4、通过格式转换清除Word 宏病毒。 5、通过高版本的Word发现病毒宏。 6、为防万一，在打开怀疑感染了宏病毒的文档时按住SHIFT键，这样可以避免宏自动运行，如果有宏病毒，则不会加载宏。 宏病毒清除 宏病毒的预防 计算机病毒与防治课程小组 （1）根据AUTO宏的自动执行的特点，在打开WORD 文档时，可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。 （2）当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，也就是一些用户没有编制过、也不是OFFICE默认提供而出现的宏，特别是出现一些怪名字的宏，肯定是病毒无疑，将它删除即可。具体做法是，选择“工具”→“宏”→“Visual Basic编辑器”，删除各宏代码模块即可。 （3）针对宏病毒感染NORMAL模版的特点，用户在新安装了OFFICE软件后，可打开一个新文档，将OFFICE的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新文档。这时生成的NORMAL模版绝对没有宏病毒，可将其备份起来。在遇到有宏病毒感染时，用备份的NORMAL模版覆盖当前的NORMAL模版，可以起到消除宏病毒的作用。 宏病毒的预防 计算机病毒与防治课程小组 （4）当使用外来可能有宏病毒的WORD文档时，如果没有保留原来文档排版格式的必要，可先使用WINDOWS自带的写字版来打开，将其转换为写字版格式的文件保存后，再用WORD调用。因为写字版不调用、不记录、不保存任何宏，文档经此转换，所有附带其上的宏(包括宏病毒)都将丢失。 （5）考虑到大部分WORD用户使用的是普通的文字处理功能，很少使用宏编程，既然对NORMAL.DOT模版很少修改,因此，用户可以选择“工具→选项→保存”页面，选中“提示保存NORMAL 模版”项，这样，一旦宏病毒感染了WO