宏病毒原理与实现.ppt

婪障陕佐火濒抠趁轨派抠鱼卢瞻垣字残华综昨蟹脆抓慨疹锹区鹅椒把理鞍宏病毒原理与实现宏病毒原理与实现;;宏（macro)，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。;宏语言;Office各版本及其宏语言;*;VBA简介;word创建宏;基于word的VBA编程 ;基于word的VBA编程 ;Office有了宏，宏在office中的什么位置？; 为了方便人们使用宏以及宏文件的传递使用，Word定义出一种文件格式，将文档以及该文档所需要的宏合在一起放在后缀为.dot的文件之中。正因为这种是宏也是资料的文档格式，便产生了宏感染的可能性。;一、模板文件格式：.dot文档：模板文档，新文档继承模板的属性（ 宏、菜单、格式等）。 Normal.dot文件：全局模板，在建立整个文档中所起的作用是作为一个基类，是新建文档默认的模板。;; 其实宏病毒的出现并非出乎人们的意料，早在80年代后期就有专家预言过。那时，有些学生就用某些应用程序的宏语言编写病毒。然而，宏病毒与普通病毒不同，它不感染.EXE或.COM文件，而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风，对人们正常使用计算机进行学习和工作带来了不可估量的影响，同时也造成了社会财富的巨大浪费。 ;1. Concept宏病毒;2 Nuclear宏病毒 这是一个对操作系统文件和打印输出有破坏功能的宏病毒。这个宏病毒中包含以下病毒宏：AutoExec AutoOpen DropSuriv FileExit FilePrint FilePrint DefaultFile SaveAs 这些宏是只执行（Execute-only）宏 Nuclear宏病毒造成的破坏现象为： （1）打开一个染毒文档井打印的时候，它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTING INTHEPACIFIC！”，这个现象是在每分钟的55秒～60秒之间操作打印时发生。 （2）如果在每天17:00～18:00之间打开一个染毒文档，Nuclear病毒会将PH33R病毒传染到计算机上，这是个 驻留型病毒。 （3）在每年的4月5日，该病毒会将计算机上IO.SYS和MSDOS.SYS文件清零，并且删除C盘根目录上的COMMAND. COM文件。一旦病毒发作，MSDOS就不可能被引导，计算机将陷入瘫痪。 ;;2.1 宏病毒简介;;WORD 宏病毒的生命周期;→编程语言：VBA、WordBasic等 →运行环境：VBE;;1、降低宏安全级别;HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\Level“ 注册表中Excel vba安全级别位置ret = WSH.RegRead(regStr) 读取当前安全级别If Err.Number 0 Then ? ?判断读取是否成功?? vbOKOnly + vbCritical, Keanjeason????? Exit SubElse? 如果当前Excel VBA安全级别不为“低”,则设置为“低”,值1-4分别对应：低，中，高，非常高 If Val(ret) 1 Then ret = WSH.RegWrite(regStr, 1, REG_DWORD)End If;;宏病毒常用到的宏如下表所示; ;;1）得到正在操作的文档代码对象和公用模板的代码对象。 Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If ;; ;（1）全局模板中出现宏。 （2）无故出现存盘操作。 （3）OFFICE功能混乱，无法使用。 （4）OFFICE菜单命令消失。 （5）OFFICE文档的内容发生变化。 （6）尝???保存文档时，只允许将文档保存为文档模版的格式。 （7）文档图标的外形类似模板而非文档图标。 ; ;日