文档介绍:实验总成绩:
——————————————————————————装订线—————————————————————————————————
报告份数:
西安邮电大学
通信与信息工程学院
网络攻防实验报告
专业班级:
学生姓名:
学号(班内序号):
2014 年 5 月 28 日
实验宏病毒
在虚拟机中演示word宏病毒的发生机制,以及如何清除病毒的一系列操作。
宏病毒样本:自我复制及感染病毒()
类台湾一号病毒()
备注:实验工具(D盘-->攻防工具包-->宏病毒:、)
(1)演示宏的编写
(2)说明宏的原理及其安全漏洞和缺陷
(3)理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业标准,其影响是全球范围的。Word文件的交换是目前办公室数据交流和传送的最通常的方式之一,而且该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大地危害性。所以,必须要掌握如何预防和清除宏病毒,让损失减少。
Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:
菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像
和格式编排都是类似的。
Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加
以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于缺省的公用模板()。
可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。
Word处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一
种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_
ePrint等。 Word打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,Word就启动它,除非在此之
前系统已经被“取消宏(Disable Auto Macros)”命令设置成宏无效。当然,如果AutoClose宏存在,则系统在关闭
一个文件时,会自动执行它。
表 Word可以识别的自动宏
宏名
运行条件
AutoExec
启动Word时
AutoNew
每次新建文档时
AutoOpen
每次打开已有文档时
AutoClose
每次关闭文档时
AutoExit
退出word时
通常,W宏病毒至少会包含一个以上的自动宏(如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew等),
或者是一个以上的标准宏,如FileOpen、FileSaveAs等。,则当Word LX行
这类自动宏时,实际上就是运行了病毒代码。由自动宏和/或标准宏构成的宏病毒,其内部都具有把带病毒的宏移植
(复制)到通用宏的代码段,也就是说宏病毒通过这种方式实现对其他文件的传染。当Word系统退出时,它会自动地
把所有通用宏(当然也包括传染进来的病毒宏)保存到模板文件中(即*.DOT文件,), 当Word系
统再次启动时,它又会自动地把所有通用宏(包括病毒宏)从模板中装人。如此这般,一旦Word系统遭受感染,则以
后每当系统进行初始化时,,继而在打开和创建任何文档时感
染该文档。
一旦病毒宏侵入Word系统,它就会替代原有的正常宏,如FileOpen、FileSave、FileSaveAs和FilePrint等, 并
通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病毒宏就会篡夺控制权,实
施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时,首先要把文档转换
成模板格式,然后把所有病毒宏(包括自动宏)复制到该文档中。被转换成模板格式后的染