计算机病毒检测报告.pdf,东华大学计算机病毒课实验六宏病毒实验报告.pdf

东华大学计算机病毒课实验六宏病毒实验报告

计 算 机 病 毒

实验报告

姓 名：

学 号:

老 师：

日 期：

一. 实验目的

Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能

使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病

毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，

从而加强对宏病毒的认识，提高防范意识。

二. 实验内容

1. macro virus中的内容

2. 信安实验平台>计算机病毒篇 >计算机宏病毒

3. 结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象

三. 实验环境

1. macro virus

硬件设备：局域网，终端PC机。

系统软件：Windows系列操作系统

支撑软件：Word 2003

 

软件设置：关闭杀毒软；打开Word 2003，在工具 宏 安全性中，

将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安

装的加载项和模板，选择信任visual basic项目的访问.

实验环境配置如下图所示：

2.计算机宏病毒

硬件设备：部署 WIN2003 系统的PC 机一台

软件工具：Office word2007

四．实验步骤及截图

1.自我复制，感染word公用模板和当前文档

打开一个word文档，然后按Alt+F11调用宏编写窗口 (工具(宏

(VisualBasic(宏编辑器),在左侧的project—>MicrosoftWord对

象(ThisDocument 中输入以上代码，保存，此时当前word文档就含

有宏病毒

只要下次打开这个word文档，就会执行以上代码，并将自身复制到

Normal.dot(word文档的公共模板)和当前文档的ThisDocument中，

同时改变函数名 (模板 中为 Document_Close，当前文档为

Document_Open)，此时所有的word文档打开和关闭时，都将运行以

上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，

本例中只是简单的跳出一个提示框。

2.具有一定破坏性的宏

我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性 (这

里以著名宏病毒 “台湾一号”的恶意代码部分为基础，为使其在

word2003版本中运行，且降低破坏性，对源代码作适当修改)。

该病毒的效果如下：当打开被感染的word文档时，首先进行自我复

制，感染word模板，然后检查日期，看是否是1 日 (即在每月的1

日会发作)，然后跳出一个对话框，要求用户进行一次心算游戏，这

里只用四个小于10的数相乘，如果作者的计算正确，那么就会新建

一个文档，跳出如下字幕：

何谓宏病毒

答案：我就是

将系统日期设为XX 月1号

如果答错，就会不停地刷屏，然后继续让你答题，否则跳出如下界面:

3. 计算机宏病毒

1). 新建Word 文档并打开

2). 调出开发工具,设置宏的等级，启用宏

3). 创建宏，命名AutoExec 编辑

4). 编辑宏，语法上注意VBA 版本保存

5). 关闭所有Word (必须)

6). 再次打开Word 文档，宏病毒爆发,弹出刚刚编写的 msgbox 窗口

7). 启动任务管理器结束进程

搜索 winword.exe 文件，并确定复制其位置

8). 启用CMD,定位winword 位置：

输入命令，用参数来打开安全模式winword.exe/a (执行此命令2 次)

第一次安全模式

第二次新建文档

进行宏的打开设置 来禁用宏

9). 搜索normal.dotm 等模板文件，若搜索不出东西，在高级选项中

选中搜索隐藏文件及系统文件即可，并删除那个文件夹下的所有模板

10). 简易摆脱宏完成，重新打开word,没有被感染。

五. 总结与心得