宏病毒分析实验宏病毒分析实验.doc

宏病毒分析实验 一、实验目的及要求： 通过本实验的学习，大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。 二、实验基本原理： 宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。 一个宏的运行,特别是有恶意的宏程序的运行,　受宏的安全性的影响是最大的,　　如果宏的安全性为高,那么,没有签署的宏就不能运行了,甚至,还能使部分Excel的功能失效.所以,宏病毒在感染Excel之前,会自行对Excel的宏的安全性进行修改,把宏的安全性设为低.　　Application.SendKeys%TMSs%L{RETURN}　　仅修改这个还不行,　　很多宏会涉及到VisualBasic,所以,宏的安全性还要信任对于VisualBasic项目的访问,所以,综合安全级别的修改,就为　　Application.SendKeys%TMSs%LT%v{RETURN}　　如何判断信任还是不信任对于VisualBasic项目的访问,　　可以用出错捕获进行修改:　　OnErrorGoToEnd_Sub　　其它功能的程序段　　ExitSub　　End_Sub:　　Application.SendKeys%TMSs%LT%v{RETURN}　　本段程序的功能为:　　一旦宏无法正常就进行宏的安全性的修改　　和对信任对于VisualBasic项目的访问的修改,　　从而这宏病毒的正常运行提供系统支持.　　本程序应放在VBA中的ThisWorkbook　　PrivateSubWorkbook_Open()　　EndSub　　这样一旦打开工作薄就会对其进行有效的修改.　　完整的程序为:　　PrivateSubWorkbook_Open()　　OnErrorGoToEnd_Sub　　其它功能的程序段　　ExitSub　　End_Sub:　　Application.SendKeys%TMSs%LT%v{RETURN}　　EndSub 1．启动Word，创建一个新文档。 2．在新文档中打开工具菜单、选择宏、查看宏。 3．为宏起一个名字，自动宏的名字规定必须为autoexec。4．击“创建”按钮，如图所示。 图 5．在宏代码编辑窗口，输入VB代码，调用Windows自带的程序，如图所示。 hell（c:\windows\system32\sndvol32.exe ”） 图宏代码编辑窗口 6．关闭宏代码编辑窗口，将文档存盘并关闭。 7．再次启动刚保存的文档，可以看到程序被自动启动。 8．思考： （1）能否利用自动宏启动其他程序？ （2）能否利用VB编写出具有其他功能的程序？ （3）自动宏能禁止吗？实训 U盘病毒的工作原理 一、实训目的 通过建立U盘自动运行文件，了解U盘病毒的工作原理。 二、实训环境 Windows操作系统，U盘，计算器（或其他）程序。 三、实训内容 一些病毒程序独立存在移动存储设备中（如U盘），并建立移动盘自动启动文件，当使用者打开移动存储设备时，自动启动文件引导病毒程序启动。 自动启动文件是微软公司为了方便用户启动程序而设置的一种名为autorun.inf的文本文件，位于移动盘的根目录，以纯文本的方式存放各种控制命令，用户双击盘符打开移动盘时就会自动打开并执行里面的命令。 如果自动启动文件被病毒所利用，当用户双击打开移动盘时就会自动启动病毒程序。 在本实训中我们以自动启动计算器程序为例，理解病毒启动原理，证明利用自动启动文件可以启动病毒程序的现象，并分析移动盘病毒常用手法。 四、实训步骤 1使用记事本或其他文本文件编辑软件在U盘中建立文名为autorun.inf的文本文件。．以autorun.inf为文件名保存到U盘根目录后，如图所示，重新插入U盘。 图autorun.inf文件编辑窗口 图5.5 重新插入u盘后