宏与宏病毒——学习笔记

最新推荐文章于 2024-06-28 16:12:25 发布
最新推荐文章于 2024-06-28 16:12:25 发布
阅读量1.6k 收藏 6
点赞数 3
分类专栏: 恶意代码与计算机病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yoo_666/article/details/107403315
版权

文章目录

前言

近日,在某个技术论文上看到了一篇关于宏病毒的技术博客,并且在几个月前在虚拟机上做了一个简单的宏病毒实验,但并未认真研究过其原理,今天忽然有了一点莫名的兴致,借着这个莫名而来的兴趣研究了下宏和宏病毒,由于本人还是在校学生,基础不是非常扎实,且没有该方面的真实实战经验,故可能存在一些错误的地方,还望各位技术大佬给予批评指正。
PS:本文关于的定义只是为宏病毒的学习进行简单的铺路,可能不够详细。

定义

在百度百科的解释是:宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言Visual Basic将宏作为一系列指令来编写。结合定义及其他技术博客,个人的理解是通过一个指令代替一大串指令,从而提高效率。

宏病毒

定义

与之对应的就是安全相关的就是宏病毒,以下是百度百科给出的关于宏病毒的定义:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
通过上面的宏的定义,我们可以知道,宏病毒正是利用宏能够通过一条指令代替多条指令这一特点导致在Word中可以快速感染(以Word为例)。
然而并非所有系统均能感染宏病毒

系统要求/特性

  • 可以把特定的宏命令代码附加在指定文件上
  • 可以实现宏命令在不同文件之间的共享和传递
  • 可以在未经使用者许可的情况下获取某种控制权

支持系统

  • Microsoft公司的Word、Excel、Access、PowerPoint、Project、Visio等产品
  • Inprise公司的Lotus AmiPro字处理软件
  • AutoCAD、Corel Draw、PDF等

特点

  • 传播极快
  • 制作、变种方便
  • 破坏可能性极大
  • 多平台交叉感染
  • 地域性问题
    • 早起的大多数宏病毒只感染英文版的Word,通常不会感染其他的一些本地化的非英文版本的Word系统
    • 由于中文版的Word内置的BASIC实际上是英文版,故所有感染英文版Word宏病毒几乎都会对中文版Word感染威胁
  • 版本问题
    • 宏病毒在DOC文档、DOT模板中以BBF格式存放(一种加密压缩格式),故可能存在不同Word版本格式可能不兼容

共性

  • 宏病毒会感染文档文件和模板文件
  • 打开时激活,通过Normal模板传播

Word宏病毒(若对宏或宏病毒有一定了解可直接跳转于此)

工作原理

在这里插入图片描述

Word宏及其运行条件

Word宏及其运行条件

判断方法

  • 在打开“宏病毒防护功能”的情况下,打开一个文档时,系统弹出相应的警告框
  • 在打开“宏病毒防护功能”的情况下,OFFICE文档在打开时给出宏警告
  • 软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存
  • 在Normal模板发现有AutoOpen等自动宏,FileSave等标准宏或一些怪名字的宏,而自己又没有加载特殊模板,这就有可能有病毒了
  • 当打开一个文档时,未经任何改动,立即就有存盘操作
  • 打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘
  • 无法使用“另存为(Save As)”修改路径
  • 不能再被转存为其它格式的文件
  • DOC文件具备与DOT文档相一致的内部格式(尽管文件扩展名未改变)

清除方法

Alt+F11进入宏环境,打开Normal下的Microsoft Word对象下的This Document,删除宏病毒代码,ctrl+s保存,保存并重启Word

预防方法

首选方法:非必要条件下,Word中宏设置应设置为禁用所有宏,并发出通知

  • 对于已染毒的模板文件(Normal.dot),应先其中的自动宏清除(AutoOpen、AutoClose、AutoNew),然后将其置成只读方式。
  • 对于其他已染毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的。
  • 平时使用时要加强预防。对来历不明的宏最好删除。
  • 先禁止所有自动执行的宏。
  • 安装反病毒软件。

经典宏病毒

  • 美丽莎(Melissa)
  • 台湾NO.1B
  • O97M.Tristate.C病毒

参考文献

【1】宏(百度百科) https://baike.baidu.com/item/%E5%AE%8F/2648286?fr=aladdin
【2】宏病毒(百度百科) https://baike.baidu.com/item/%E5%AE%8F%E7%97%85%E6%AF%92/1568984?fr=aladdin
【3】刘功申,孟魁,王轶骏,姜开达,李生红. 《计算机病毒与恶意代码——原理、技术及防范(第4版)》. 清华大学出版社,2019.6
【4】什么是 BBF 文件扩展名? https://www.solvusoft.com/zh-cn/file-extensions/file-extension-bbf
【5】 宏病毒学习总结 https://blog.csdn.net/bcbobo21cn/article/details/68957180?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159495109919725222419869%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=159495109919725222419869&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allfirst_rank_ecpm_v3~pc_rank_v4-15-68957180.first_rank_ecpm_v3_pc_rank_v4&utm_term=%E5%AE%8F%E7%97%85%E6%AF%92

Yoo_666
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及样本分析
杨秀璋的专栏
02-04 8337
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-202
宏病毒学习总结
bcbobo21cn的专栏
04-03 5303
宏病毒及其防治方法总结 http://www.educity.cn/labs/563436.html   如果说宏病毒的出现曾经给反病毒软件厂商出了一道难题的话,那么电脑网络特别是因特网的出现在给人们的信息 交流带来极大方便的同,也给计算机病毒、特别是宏病毒传播提供了空前便利的条件,今天的计算机用户比以往任 何候都更加真实地面对它的威胁。      一、
小病毒(恶作剧)与小宏病毒学习
weixin_50464560的博客
03-17 1828
1、编写小病毒,运用rar自解压功能完成病毒植入。 第一个小病毒 咱来编写一下 双击运行之 来了来了它来了,幸好设置的间比较长,不然就来不及关掉它了~ 如果要制作小病毒(恶作剧),可以设置成1s,放在别人的主机里运行,我是不知道会不会被打,因为我没试过哦嘻嘻 在cmd中敲上这个命令,它就没了 第二个小病毒 敲它 双击运行 其实它们都是C盘啦 那么如何删除呢 来 这就删除了 这里拓展一下 多了”@echo off”这一语句,这里就不会像之前那样显示那么多了。”@echo off”的意思是在
记录处理宏病毒的过程
最新发布
u013930899的博客
06-28 370
以下是堂弟个人电脑中毒的处理过程,作为网络安全从业人员,第一次遇到宏病毒,以前只是听过过这种病毒,从未见过。
宏病毒分析要点
weixin_42539095的博客
12-26 553
练习过一些宏病毒,总结一些最基本的方法 一.查看 提示启用内容,选择启用 Alt+F11即可查看代码 二.加密 部分加了密码 可以用如下工具破解 三.快速查找关键语句 大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来 选择左侧点击即可下断 然后运行 本地窗口查看,调试 添加监视即可看到关键部...
宏病毒
热门推荐
孤的博客
04-16 1万+
宏病毒定义 宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的的集合,这种病毒的集合影响到计算机的使用,并能通过文档及模板进行自我复制及传播。 支持宏病毒的应用系统特点 要达到宏病毒传染的目的,系统须具备以下特性: 可以把特定的命令代码附加在指定文件上; 可以实现命令在不同文件之间的共享和传递; 可以在未经使用者许可的情况下获取某种控制权。 可支持宏病毒的应用系统 Micro...
宏病毒(计算机病毒的一种)
weixin_40191861的博客
08-19 693
在计算机技术的历史中,(英語:)是一种使得的相关应用文档内含有被称为的可执行代码的病毒。一个電子表格程式可能允许用户在一个文档中嵌入“命令”,使得某种操作得以自动运行;同样的操作也就可以将病毒嵌入电子表格来对用户的使用造成破坏。在1990年代中后期最流行的就是和办公软件(如及)相关的病毒。在90年代后期,的电子邮件软件(拥有scripting特性)成为传播病毒最常用的载体。直到今天还是如此。
简单宏病毒研究
richard1230的博客
03-13 3587
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...
&一个简单的宏病毒示例
dengdouweng1282的博客
06-30 2070
基于VisualBasicForApplications 其一:录制 在word,视图,,录制选项。 操作比较简单,不再赘述。 (注意根据需求选择normal还是当前文档) 例如:录制:快捷键设为空格,将某些字段设为隐藏/空白。可以隐藏信息。(虽然很简陋) 其二:编辑 视图 查看 创建 (注意根据需求选择normal还是当前文档) CDO组件发送邮件。 用了ActiveD...
宏病毒混淆分析
A_ZHAZHAL的博客
03-05 911
前言 很早之前就说要分析宏病毒,一直没机会,现在终于有空闲间来分析一个混淆的比较厉害的宏病毒了。 静态分析 分析宏病毒,可以利用 oledump.py 来将代码提取出来再进行分析。 使用命令 python oledump.py 文件名,即可查看文件流信息。 下图中的 M 表示该段中有代码。 python oledump.py -s 8 -v 11.dat >1.txt 可以将8段...
《浏览器工作原理与实践》学习笔记
weixin_48391468的博客
02-20 1334
浏览器原理 前言 本文是学习**李兵老师的《浏览器工作原理与实践》**过程中记录笔记,详细链接见文末 进程vs线程 进程:一个应用程序的运行实例就是一个进程,详细来说就是:启动一个应用程序的候,操作系统会为该程序分配一片内存空间,用来存放代码、数据和一个主线程,这样的运行环境就称为一个进程 线程:依附于进程,多个线程并行可以提高运行效率 进程和线程之间的几个特点 1.进程中的任意一个线程执行出错,都会导致进程崩溃 2.线程之间共享父进程的数据 3.当进程关闭的候,整个进程的资源都会被回收 4.进程之间的
宏病毒的工作原理与防治技术
11-19
宏病毒的产生,是利用了一些数据处理系统内置命令编程语言的特性而形成的。这些数据处理系统内置编程语言的存在使得宏病毒有机可乘,病毒可以把特定的命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取控制权,达到传染目的。 目前在可被宏病毒感染的文件中,以Word,Excel居多。Word宏病毒与Excel宏病毒的特性较为相似,因此仅以word宏病毒为例,说明宏病毒的作用,传染以及发作的机理和特性。
宏病毒技术原理与防范技术综述
12-19
介绍了宏病毒及其特点,从多个方面分析宏病毒的工作原理,详细说明宏病毒传播危害及防治方法。最后介绍几个著名的宏病毒,并通过对代码的分析,加深对宏病毒的了解。
StartUp宏病毒专杀(永久使用)
06-13
本工具用于专杀Excel的StartUp宏病毒。运行前提:1、把安全性设为低;2把“可靠运行商”的“信任对于Visual Basic项目的访问”勾上。 对前一版本(链接:http://download.csdn.net/detail/a10615/3966065)进行了更新。把使用的期限取消了,可以永久性地使用。还作了些其他修改。
最新EXCEL宏病毒 杀毒软件
12-19
最近比较猖狂的Startup(潘1006.xls) 宏病毒 试过很多专杀工具还是不彻底 或者说 杀完以后还可以中招 但是用这个杀毒软件就可以搞定 查杀及防护(这个不只是专杀)其他病毒也可以杀
[首发] office宏病毒专杀工具 k4 宏病毒专杀 查杀360等杀软不能查杀的新型宏病毒
08-25
原创首发:宏病毒专杀工具,查找k4宏病毒特征码,查杀指定目录下的office宏病毒,专杀excel宏病毒, 推荐与金山宏病毒专杀工具组合使用,本工具能够查杀金山专杀无法查杀的 k4宏病毒
汇编语言笔记(一)——汇编语言基础
翻肚鱼儿的博客
10-18 2452
汇编
《Effective C++》读书笔记——第一章:Accustoming Yourself to C++
Luminous
01-25 1330
大年三十却不能回家,也不能找????玩,我恨死这个新型冠状病毒了 既然只能宅在家,那就充分利用一下这段间多学习一点吧 言归正传,本章主要是在讲如何让自己适应C++,当然这也是全书所想要表达的,只是这一章着重讲一些基础 Item 1: VIEW C++ AS A FEDERATION OF LANGUAGES 特意去查了一下federation是什么意思,好像大概是说联盟、联邦之类的,所以这条item...
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值