大学计算机病毒课实验六宏病毒实验报告文档格式.docx

大学计算机病毒课实验六宏病毒实验报告文档格式.docx

《大学计算机病毒课实验六宏病毒实验报告文档格式.docx》由会员分享，可在线阅读，更多相关《大学计算机病毒课实验六宏病毒实验报告文档格式.docx（12页珍藏版）》请在冰点文库上搜索。

实验环境配置如下图所示：

2.计算机宏病毒

部署WIN2003系统的PC机一台

软件工具：

Oficeword2007

四.实验步骤及截图

1.自我复制，感染word公用模板和当前文档

打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏

VisualBasic宏编辑器），在左侧的project—'

MicrosoftWord

对象ThisDocument中输入以上代码，保存，此时当前word文档就

含有宏病毒

艺件0垢IET耳匿丑1SiA㈡帮式血禺试帀运厅宙工鼻皿处報柜佯⑷U口业辂护血

h@1Jv\1叫孑仆丿吒*丫V讪行測》列11

"

I口

TblkllKv-CUBMh匚1共,41UUl；

+V■«

■hX

*fr*jeelQltcr«

vizt

-普fr■!

■■£

■!

tSSBIJ

zJriFi.etj«

□!

iYpsL

E］TinlD!

pujiviil

tl.引用

MimiiiJuih

■«

ihIlQEMrd尸ti11

:

乱Eg

即卩昶勰“乩巾承石遵:

俺讥帝玄-P'

i4SiSiT-BonaLFTai;

i.=False

Jute在TNialhib闻VBFuiccl^-erTct-tRisU）Ga•映和航ItLiusCkLCD）

at=Foh*iglT*r电］IjlL匕打矗tjjizl.•CodU'

lij：

1」.屯

Iifflu吐mu—F讥亶Fttis-1!

«

71iBk

Hit!

=：

-veD-cnrKTif"

|fBProj*-i：

灯匚onj•曲trrtirfl］匚让斗mfil亡

Sad11

HithH“t

IfLla-lO.D0Th«

.

hl誤山JT1l，匚讥fflMfLr加蛊Iaju«

r*J_3Ta«

i.1lLharu口h

壬#：

弘b诂亡gmJQ•■范0*

IfThs^ccsTriLl二e.c<

&

Laaa

KsfjJq.2.XmhAiiuu->

feij-il_lJp*iiil.lfi

冃lv：

!

■口fit気时利^rtivH"

cin^ri*1mur

EndIf

Erd丹th

Ihid^K"

RisrciVsru:

M:

血可切l54：

Tri^yLaJ"

iixdJut-

只要下次打开这个word文档，就会执行以上代码，并将自身复制到

Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close,当前文档为

Document_Opejn，此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

4ML虫時时-屋F-rvjii-rflO*rlk

-•Jj'

rdh.M尊豪■BlTHjillkBfdM.LI

・二1鼬P*rnjii-r9•

-F*l<

T"

W«

£

t

rr<

vir«

~

-«

f-l|I-G■>

hlrtal-Lw.I山口询吐屮]aiiarLlj.MKI■u!

・ii・

hlidiUM

5jal-^^-<

hh-10d.<

Ci<

f

2"

3由[k-nwat:

.^mn"

“Mi上心日士Ac^i^ila^nNn^F'

iIIPvr

EaJni£

i

lwJr-ii5ta£

M!

I»

fU4■

2.具有一定破坏性的宏

我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性（这里以著名宏病毒“台湾一号”的恶意代码部分为基础，为使其在word2003版本中运行，且降低破坏性，对源代码作适当修改）。

该病毒的效果如下：

当打开被感染的word文档时，首先进行自我复制，感染word模板，然后检查日期，看是否是1日（即在每月的1日会发作），然后跳出一个对话框，要求用户进行一次心算游戏，这里只用四个小于10的数相乘，如果作者的计算正确，那么就会新建一个文档，跳出如下字幕：

何谓宏病毒

答案：

我就是……

.1°

^r«

Eut1Tg*ual1Htjllb抽i[]hxj■'

acsHRn1.II'

-〜X

；

迪.畫棺雷M*£

i肩io科&

3n^pi■“Ga<

nu二鼻如e離旳呼■oijii«

nto

itEFthWi^if

養」：

。

p川羊虻$T'

J«

qi-.i|

区戶iw-Z

-1

将系统日期设为XX月1号

如果答错，就会不停地刷屏，然后继续让你答题，否则跳出如下界面：

3•计算机宏病毒

1）.新建Word文档并打开

厂新崖一；

MicroicEtfOfficettord：

2）.调出开发工具，设置宏的等级，启用宏

多近漳用轴宜朽

STF'

S）

七存罚世|*

rnTEi

发送仝

TE-MicrosoftWOttf[3空槿盂

Lr'

^lic-DTD^亡z：

mV.'

.drd>

^=.doc5

JWord-Xiz3-^o-dX）i

炬准弍夏：

i鬼£

样式屁

AClvexSB

平人晦这啜

SiSS

走：

在菲三■■全兰亡三i；

=TrUE■:

宅

厂輔壬于誉去.并兰乂：

号勺［」

r旱三怖五巳.幷旨,=靳二工；

厂孚Wth乏全打廿m啞世j

$是手舲君（不准导■刁能吉运君空崖在定瞇的牴西11J

开!

ftA長齟苣

P处聖亟工药亟璧更虫

3）.创建宏,

命名AutoExec编辑

'

旦I.」兰匕恋

VisualBask芮丄亠.““

+芾唱AcrotMt

Z=l7X'

zZ1?

<

1

州基哇

Eh.upb苣・口

Hi-i■-■■rint~i

*

巨噪吨自口*1&

05

4）.编辑宏，语法上注意VBA版本保存

5）.关闭所有Word（必须）

6）.再次打开Word文档，宏病毒爆发，弹出刚刚编写的msgbox窗口

夏曲：

1/1I壬；

u'

冲文〔中圍11唾人勺|腹朗目巨岂丄

水开始|母⑨回文］四文|创文|旦文|国文|四文|四文|四文|切文|亠

7）.启动任务管理器结束进程

搜索winword.exe文件，并确定复制其位置

8）.启用CMD定位winword位置：

输入命令，用参数来打开安全模式winword.exe/a（执行此命令2次）

第一次安全模式

第二次新建文档

讦诒话人EEJ帀亏耳同琼匸=®

耳直幵常

获取联机帘肋

P«

7trJl'

ite"

er<

ir/icwtlyffiffGnfie上隹爭:

■=!

?

］逗』

兰1轄尊址F3客旳.oflice兰31*K»

tnJ5oftOfficeOrIre為延上卡堂R号.

保^粟绽运行

厂定弐TM—宀舌子醴走就耙垃聖匕哀斗iR

Off屈可昭一<

彌.同亍目和同甸卿离為技埒嘛06.此应样珮墻科二

=.冠士‘齐；

二心州：

亠左空弐争三卷

改进Office

r注亍客产:

騎：

古*戈心

C/fi该可胡査芒方工可去就便耶J,蜃需氐音乞污嵩耳硏媲fit计I■感这苣恼息椅Mlacidt以来知啟］强fiottk也

进行宏的打开设置来禁用宏

「凶

S^f：

irr^-r丹任空垄KB&

7

Ad^K灾査

■.•.詐上「

诃莎在1E哥（I圧（2矽曲冃的宏：

L尊二疔却證.斗旦尹世艺jj

烷军±

=.-2乞.斗Per.墨•心丄，

厂奈三元烈芋学氏才右三；

巨I

广吕弓宓芸严世苇：

可|辭行育施怎瞬代鬥刁

开共人员舸苣

r摘三号卫戟工瘪瑛躍王:

”詡謂

9）.搜索normal.dotm等模板文件，若搜索不出东西，在高级选项中

选中搜索隐藏文件及系统文件即可，并删除那个文件夹下的所有模板

10）.简易摆脱宏完成，重新打开word,没有被感染

五.总结与心得