Word宏病毒

最新推荐文章于 2023-11-21 16:15:03 发布
最新推荐文章于 2023-11-21 16:15:03 发布
阅读量1.2w 收藏
点赞数 17
分类专栏: 信息安全 文章标签: 编程语言 linux 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43717119/article/details/118107702
版权

Word宏病毒

【实验目的】

1、演示宏的编写。
2、说明宏的原理及其安全漏洞和缺陷。
3、理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。

【实验环境】

在windows虚拟机中演示word宏病毒的发生机制,以及如何清除病毒的一系列操作宏病毒样本:自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt)
实验注意事项:为了保证该试验不至于造成较大破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。

【实验预备知识点】

Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于缺省的公用模板(Normal.dot)。
可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。
Word处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着FilePrint等。Word打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,Word就启动它,除非在此之前系统已经被“取消宏(Disable Auto Macros)”命令设置成宏无效。当然,如果AutoClose宏存在,则系统在关闭一个文件时,会自动执行它。
通常,宏病毒至少会包含一个以上的自动宏(如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew等),或者是一个以上的标准宏,如FileOpen、FileSaveAs等。如果某个.doc文件感染了这类Word宏病毒,则当Word运行这类自动宏时,实际上就是运行了病毒代码。由自动宏和/或标准宏构成的宏病毒,其内部都具有把带病毒的宏移植(复制)到通用宏的代码段,也就是说宏病毒通过这种方式实现对其他文件的传染。当Word系统退出时,它会自动地把所有通用宏(当然也包括传染进来的病毒宏)保存到模板文件中(即*.DOT文件,通常为NORMAL.DOT),当Word系统再次启动时,它又会自动地把所有通用宏(包括病毒宏)从模板中装入。如此这般,一旦Word系统遭受感染,则以后每当系统进行初始化时,系统都会随着NORMAL.DOT的装入而成为带毒的Word系统,继而在打开和创建任何文档时感染该文档。
一旦病毒宏侵入Word系统,它就会替代原有的正常宏,如FileOpen、FileSave、FileSaveAs和FilePrint等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏(包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档,当被其他计算机的Word系统打开时,便会自动感染该计算机。例如,如果病毒捕获并修改了FileOpen,那么它将感染每一个被打开的Word文件。
宏病毒主要寄生于AutoOpen、AutoClose和AutoNew 3个宏中,其引导、传染、表现或破坏均通过宏指令来完成的。宏指令是用宏语言WORDBASIC编写的,宏语言提供了许多系统级底层功能调用,因此,宏病毒利用宏语言实现其传染、表现或破坏的目的。
目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果Word系统在读取一个染毒文件时遭受感染,则其后所有新创建的DOC文件都会被感染。Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。如果说宏病毒还有什么局限性的话,就是这些病毒必须依赖某个可受其感染的系统,如微软的Word或Excel,否则这些宏病毒便成了无水之鱼。

【实验内容】

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业标准,其影响是全球范围的。Word文件的交换是目前办公室数据交流和传送的最通常的方式之一,而且该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大地危害性。所以,必须要掌握如何预防和清除宏病毒,让损失减少。

【实验步骤】

1、 点击“开始”->“Microsoft office word 2003”,打开word,安装word中路径打开“工具->宏->安全性”中把word文档宏的安全性设置为低,在可靠发行商选项卡中,选择信任所有安装的加载项和模板,选择信任visual basic项目的访问。
在这里插入图片描述<

最低0.47元/天 解锁文章
*南有乔木
关注
  • 17
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
c++“病毒”大全(6种)
weixin_66423343的博客
06-02 627
注:本文仅供搞笑,禁止用于非法。不要让别人的电脑快快乐乐
word文档宏病毒
m0_61368098的博客
09-10 1964
无限创建word文档来占用CPU资源,导致电脑宕机。注意在Normal下才是通用的,就是是个word文件在你的电脑上打开就会触发代码,在Project(新建 Microsoft Word 文档)下插入的代码只能用在这个word文档。
制作一个后缀名为.vbs的病毒代码
Hxwhi的博客
05-28 843
建议使用虚拟机(可以使用VMware Workstation Pro,可以参照 那年遇见了你 的发布的文章),否则你的计算机将会就地报废,使用时要关闭电脑病毒保护,如果使用的时候没有关,恭喜您的程序系统自带的病毒保护系统会被“就地枪决”)蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。废话不多说,上代码!
宏病毒实验报告
05-07
宏病毒实验报告,包括台湾病毒和自己写的宏病毒试验
恶意代码实验3:Word宏病毒实验
最新发布
qq_63949327的博客
11-21 1885
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的宏编辑器如图所示,即可编写病毒代码。
脚本/宏病毒
flowerxxxxx的博客
06-30 641
一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。(3)用Win Hex分别打开notepad.exe和notepad_upx.exe文件(2分),再比较PE头部分,用语言描述有什么不同。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置宏的安全性;(3)描述清除病毒及加固的方法;(注:直接答在该题下面)(5分)
清理WORD宏病毒感染的模板文件.rar
08-28
标题“清理WORD宏病毒感染的模板文件.rar”暗示了一个问题,即用户的Word模板文件可能被宏病毒感染,并需要采取措施进行清理。模板文件(.dotx或.dotm)是Word的一种特殊类型文件,它们保存了格式设置和宏,以便在...
word批量选择所有表格.zip_word
09-20
同时,为了安全起见,只应从可信来源运行宏,避免病毒或恶意软件的潜在风险。 在实际应用中,你可以根据需要自定义这个宏,例如,增加特定的格式化步骤到代码中,使宏在选择表格后立即执行这些格式化操作。此外,...
v.rar_宏病毒
09-23
宏病毒】是一种特殊类型的计算机病毒,主要针对使用Microsoft Office软件如Word、Excel等的用户。宏病毒利用了Office文档中的宏功能,这是一种自动化脚本,可以执行一系列预定义的操作。在1990年代中期,宏病毒...
Office宏病毒清除免疫工具
02-18
清除电脑中的宏病毒; 阻止宏病毒在文件之间感染;
WPS Office宏病毒实现shell反弹
Zyecho的博客
10-21 2652
WPS Office宏病毒实现shell反弹
Kali渗透测试:使用Word宏病毒进行渗透攻击
Liu_Bruce的博客
05-14 4377
Kali渗透测试:使用宏病毒进行渗透攻击 VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、Word的VBA小程序不计其数。宏病毒Word中引入宏之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,宏病毒利用这一点得到了大范围的传播。 构造一个包含宏病毒Word文件也并不复杂,只要编写一个Auto_Open函数,就可自动引发病毒。 在Word打开这个文件时, 宏病毒会执行, 然后感染其他文件或
Office2003宏病毒——台湾No.1MacroVirus的运行
m0_52534684的博客
05-23 2323
预备: 虚拟机win7系统下安装好Office2003 关闭虚拟机杀毒软件的自动防护功能 打开Office2003,在工具->宏->安全性中,将安全级别设置为低;并且在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问。 打开word文档,按快捷键Alt+F11Alt+F11Alt+F11调用宏编写窗口,在左侧的project->Microsoft Word对象->ThisDocument中输入老师给的源代码。 步骤: 在图1中打入
宏病毒的实践
xiao_ZHEDA的博客
08-20 302
宏病毒实践
宏病毒实验讲解(含共享文件夹建立)
m0_57069925的博客
09-21 999
vmware共享文件夹只是方便把文件在虚拟机和物理机直接传送要是不需要可以直接跳到第二部分看宏实验。
宏病毒实验
W_seventeen的博客
03-25 5506
简单的宏病毒 打开word文档,打开一个word 文档,然后按Alt+F11 调用宏编写窗口(或从工具->宏->Visual Basic->宏编辑器),定义宏名为一个自动宏。单击“创建”按钮,进入VB编辑状态,输入内容如下: Sub AutoOpen() ’ 'AutoOpen Macro Selection.TypeText Text:=“非常简单的宏病毒实例” End S...
宏病毒(1)
WLINX
12-09 601
样本HASH:02BA9703D1F250B411EA4C868D17FD2E 先打开样本,发现是老版的宏警告。 然后点击启用宏,ALT+F11查看宏代码(打开之前可以按住shift,防止一切宏运行,但很多时候不好使),然后找到宏开始的地方,然后开始调试。 CTRL+F8运行到光标处,然后F8开始单步。 Sub userNaveLoadr() Dim path_Nave...
记一次宏病毒分析
Boom!脑洞大爆炸的博客
06-18 618
记一次宏病毒分析
word宏病毒的工作机制
06-07
Word宏病毒的工作机制一般分为以下几个步骤: 1. 诱骗用户打开感染文件:病毒会通过邮件附件、下载链接等方式传播,诱骗用户打开感染文件。 2. 感染文件:一旦用户打开感染文件,病毒会利用Word中的宏功能,在用户不知情的情况下在文件中插入病毒代码。 3. 启动感染:当用户打开感染文件时,病毒会自动启动感染,将病毒代码写入Word模板和用户文档中的所有宏,并在用户打开或创建文档时启动病毒。 4. 恶意操作:一旦病毒成功感染,它可以执行各种恶意操作,例如删除或修改文件、发送恶意邮件、窃取敏感信息等。 总的来说,Word宏病毒利用Word中的宏功能,感染用户文件并自动启动,然后执行恶意操作,给用户的计算机带来安全威胁。因此,在使用Word时,用户应该注意不要打开来路不明的文件,尤其是带有宏的文件,以减少被病毒感染的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值