GF宏病毒GF宏病毒.docVIP

西安邮电大学 通信与信息工程学院 网络攻防实验报告 专业班级： 学生姓名： 学号(班内序号): 2014 年 5 月 28 日 实验 宏病毒 1.场景描述 在虚拟机中演示word宏病毒的发生机制，以及如何清除病毒的一系列操作。 宏病毒样本：自我复制及感染病毒(copy.txt) 类台湾一号病毒(No1.txt) 备注：实验工具（D盘--攻防工具包--宏病毒：Copy.txt、TaiWanNo1.txt） 2.实验目的 （1）演示宏的编写 （2）说明宏的原理及其安全漏洞和缺陷 （3）理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识 3.需求分析 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业标准，其影响是全球范围的。Word文件的交换是目前办公室数据交流和传送的最通常的方式之一，而且该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大地危害性。所以，必须要掌握如何预防和清除宏病毒，让损失减少。 4.技术分析 Word的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素： 菜单、宏、格式（如备忘录等）。模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像 和格式编排都是类似的。 Word提供了几种常见文档类型的模板，如备忘录、报告和商务信件。您可以直接使用模板来创建新文档，或者加 以修改，也可以创建自己的模板。一般情况下，Word自动将新文档基于缺省的公用模板（Normal.dot）。 可以看出，模板在建立整个文档中所起的作用，作为基类，文档继承模板的属性，包括宏、菜单、格式等。 Word处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一 种动作其实都对应着特定的宏命令，如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ ePrint等。 Word打开文件时，它首先要检查是否有AutoOpen宏存在，假如有这样的宏，Word就启动它，除非在此之 前系统已经被“取消宏（Disable Auto Macros）”命令设置成宏无效。当然，如果AutoClose宏存在，则系统在关闭 一个文件时，会自动执行它。 表 Word可以识别的自动宏 宏 名 运行条件 AutoExec 启动Word时 AutoNew 每次新建文档时 AutoOpen 每次打开已有文档时 AutoClose 每次关闭文档时 AutoExit 退出word时 通常，W宏病毒至少会包含一个以上的自动宏（如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew等）， 或者是一个以上的标准宏，如FileOpen、FileSaveAs等。如果某个.doc文件感染了这类Word宏病毒，则当Word LX行 这类自动宏时，实际上就是运行了病毒代码。由自动宏和／或标准宏构成的宏病毒，其内部都具有把带病毒的宏移植 （复制）到通用宏的代码段，也就是说宏病毒通过这种方式实现对其他文件的传染。当Word系统退出时，它会自动地 把所有通用宏（当然也包括传染进来的病毒宏）保存到模板文件中（即*.DOT文件，通常为NORMAL.DOT）， 当Word系 统再次启动时，它又会自动地把所有通用宏（包括病毒宏）从模板中装人。如此这般，一旦Word系统遭受感染，则以 后每当系统进行初始化时，系统都会随着NORMAL.DOT的装人而成为带毒的Word系统，继而在打开和创建任何文档时感 染该文档。 一旦病毒宏侵入Word系统，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和FilePrint等， 并 通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实 施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时，首先要把文档转换 成模板格式，然后把所有病毒宏（包括自动宏）复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其 他格式。含有自动宏的宏病毒染毒文