Word宏病毒

最新推荐文章于 2025-03-25 22:47:50 发布

*南有乔木

最新推荐文章于 2025-03-25 22:47:50 发布

阅读量1.3w

点赞数 17

分类专栏：信息安全文章标签：编程语言 linux 信息安全

本文链接：https://blog.csdn.net/qq_43717119/article/details/118107702

版权

本文通过实验详细解析了Word宏病毒的工作机制，包括宏的编写、宏病毒的传播途径以及感染过程。实验展示了宏病毒如何自我复制并感染Word文档，强调了设置宏安全性和及时删除宏的重要性。了解宏病毒有助于提升对信息安全的认识，防止潜在的危害。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Word宏病毒

【实验目的】

1、演示宏的编写。
2、说明宏的原理及其安全漏洞和缺陷。
3、理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

【实验环境】

在windows虚拟机中演示word宏病毒的发生机制，以及如何清除病毒的一系列操作宏病毒样本：自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt)
实验注意事项：为了保证该试验不至于造成较大破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

【实验预备知识点】

Word的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式（如备忘录等）。模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。
Word提供了几种常见文档类型的模板，如备忘录、报告和商务信件。您可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。一般情况下，Word自动将新文档基于缺省的公用模板（Normal.dot）。
可以看出，模板在建立整个文档中所起的作用，作为基类，文档继承模板的属性，包括宏、菜单、格式等。
Word处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令，如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着FilePrint等。Word打开文件时，它首先要检查是否有AutoOpen宏存在，假如有这样的宏，Word就启动它，除非在此之前系统已经被“取消宏（Disable Auto Macros）”命令设置成宏无效。当然，如果AutoClose宏存在，则系统在关闭一个文件时，会自动执行它。
通常，宏病毒至少会包含一个以上的自动宏（如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew等），或者是一个以上的标准宏，如FileOpen、FileSaveAs等。如果某个.doc文件感染了这类Word宏病毒，则当Word运行这类自动宏时，实际上就是运行了病毒代码。由自动宏和／或标准宏构成的宏病毒，其内部都具有把带病毒的宏移植（复制）到通用宏的代码段，也就是说宏病毒通过这种方式实现对其他文件的传染。当Word系统退出时，它会自动地把所有通用宏（当然也包括传染进来的病毒宏）保存到模板文件中（即*.DOT文件，通常为NORMAL.DOT），当Word系统再次启动时，它又会自动地把所有通用宏（包括病毒宏）从模板中装入。如此这般，一旦Word系统遭受感染，则以后每当系统进行初始化时，系统都会随着NORMAL.DOT的装入而成为带毒的Word系统，继而在打开和创建任何文档时感染该文档。
一旦病毒宏侵入Word系统，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和FilePrint等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏（包括自动宏）复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档，当被其他计算机的Word系统打开时，便会自动感染该计算机。例如，如果病毒捕获并修改了FileOpen，那么它将感染每一个被打开的Word文件。
宏病毒主要寄生于AutoOpen、AutoClose和AutoNew 3个宏中，其引导、传染、表现或破坏均通过宏指令来完成的。宏指令是用宏语言WORDBASIC编写的，宏语言提供了许多系统级底层功能调用，因此，宏病毒利用宏语言实现其传染、表现或破坏的目的。
目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果Word系统在读取一个染毒文件时遭受感染，则其后所有新创建的DOC文件都会被感染。Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。如果说宏病毒还有什么局限性的话，就是这些病毒必须依赖某个可受其感染的系统，如微软的Word或Excel，否则这些宏病毒便成了无水之鱼。