上游充通大粤 SHANGHAI JIAO TONG UNIVERSITY 宏病毒 上海交通大学信息安全工程学院 刘功申 1日三5
宏病毒 上海交通大学信息安全工程学院 刘功申
上游充通大学 本章的学习目标 SHANGHAI JIAO TONG UNIVERSITY ©掌握宏病毒概念 ©掌握宏病毒制作机制 ©了解宏病毒实例 ©掌握宏病毒防范方法 ©掌握宏病毒实验 信息安全工程学院
信息安全工程学院 本章的学习目标 掌握宏病毒概念 掌握宏病毒制作机制 了解宏病毒实例 掌握宏病毒防范方法 掌握宏病毒实验
上游充通大兽 宏病毒定义 SHANGHAI JIAO TONG UNIVERSITY 宏病毒是利用系统的开放性专门制作的一个或多 个具有病毒特点的宏的集合,这种病毒宏的集合 影响到计算机的使用,并能通过文档及模板进行 自我复制及传播。 信息安全工程学院
信息安全工程学院 宏病毒定义 宏病毒是利用系统的开放性专门制作的一个或多 个具有病毒特点的宏的集合,这种病毒宏的集合 影响到计算机的使用,并能通过文档及模板进行 自我复制及传播
上游充通大兽 支持宏病毒的应用系统特点 SHANGHAI JIAO TONG UNIVERSITY 要达到宏病毒传染的目的,系统须具备以下特性: ·可以把特定的宏命令代码附加在指定文件上; ·可以实现宏命令在不同文件之间的共享和传递; ·可以在未经使用者许可的情况下获取某种控制权。 信息安全工程学院
信息安全工程学院 支持宏病毒的应用系统特点 要达到宏病毒传染的目的,系统须具备以下特性: • 可以把特定的宏命令代码附加在指定文件上; • 可以实现宏命令在不同文件之间的共享和传递; • 可以在未经使用者许可的情况下获取某种控制权
上游充大学 可支持宏病毒的应用系统 SHANGHAI JIAO TONG UNIVERSITY ©Microsoft公司的WORD、EXCEL、Access、 PowerPoint、Project、Visio等产品; Inprise公司的Lotus AmiPro字处理软件; ©此外,还包括AutoCAD、Corel Draw、PDF等等。 信息安全工程学院
信息安全工程学院 可支持宏病毒的应用系统 Microsoft公司的WORD、EXCEL、Access、 PowerPoint、Project、Visio等产品; Inprise公司的Lotus AmiPro字处理软件; 此外,还包括AutoCAD、Corel Draw、PDF等等
上游充通大学 宏病毒的特点 SHANGHAI JIAO TONG UNIVERSITY ©传播极快 ©制作、变种方便 ©破坏可能性极大 多平台交叉感染 ©地域性问题 信息安全王程学院
信息安全工程学院 宏病毒的特点 传播极快 制作、变种方便 破坏可能性极大 多平台交叉感染 地域性问题
上游充通大兽 宏病毒的共性 SHANGHAI JIAO TONG UNIVERSITY 宏病毒会感染DOC文档文件和DOT模板文件。 ©打开时激活,通过Normala模板传播。 通过AutoOpen,AutoClose,AutoNew和 AutoExit等自动宏获得控制权。 ©病毒宏中必然含有对文档读写操作的宏指令。 信息安全工程学院
信息安全工程学院 宏病毒的共性 宏病毒会感染DOC文档文件和DOT模板文件。 打开时激活,通过Normal模板传播。 通过AutoOpen,AutoClose,AutoNew和 AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指令
上游充通大兽 宏病毒的作用机制 SHANGHAI JIAO TONG UNIVERSITY 模板在建立整个文档中所 起的作用是作为一个基类。 类别 宏名 运行条件 新文档继承模板的属性 自动宏 AutoExec 启动Word或加载全局模板时 (包括宏、菜单、格式 AutoNew 每次创建新文档时 等)。 AutoOpen 每次打开已存在的文档时 编制宏病毒要用到的宏如 AutoClose 在关闭文档时 右表 AutoExit 在退出Word或卸载全局模板 时 标准宏 FileSave 保存文件 FileSaveAs 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件 信息安全工程学院
信息安全工程学院 宏病毒的作用机制 模板在建立整个文档中所 起的作用是作为一个基类。 新文档继承模板的属性 (包括宏、菜单、格式 等)。 编制宏病毒要用到的宏如 右表 类别 宏 名 运行条件 自动宏 AutoExec 启动Word或加载全局模板时 AutoNew 每次创建新文档时 AutoOpen 每次打开已存在的文档时 AutoClose 在关闭文档时 AutoExit 在退出Word或卸载全局模板 时 标准宏 FileSave 保存文件 FileSaveAs 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件
上游充通大学 SHANGHAI JIAO TONG UNIVERSITY Word宏病毒感染过程 编制语言VBA\WordBasic等 ©环境:VBE 打开被感 把宏加载到 宏病毒将自 新建(打开) 染的文档 内存 运行自动宏 己复制到全 局模板 的文档被感染 信息安全工程学院
信息安全工程学院 Word宏病毒感染过程 编制语言VBA\WordBasic等 环境:VBE
上游充通大学 经典宏病毒-美丽莎Melissa SHANGHAI JIAO TONG UNIVERSITY 利用微软的Word宏和Outlook发送载有80个色情 文学网址的列表 国 它可感染Word97或Word2000,是一种Word宏病 毒 当用户打开一个受到感染的Word97或Word 2000文件时,病毒会自动通过被感染者的 Outlook的通讯录,给前50个地址发出带有 W97 M MELISSA病毒的电子邮件。 信息安全王程学院
信息安全工程学院 经典宏病毒-美丽莎 Melissa 利用微软的Word宏和Outlook发送载有80个色情 文学网址的列表 它可感染Word 97或Word 2000,是一种Word宏病 毒 当用户打开一个受到感染的Word 97或Word 2000文件时,病毒会自动通过被感染者的 Outlook的通讯录,给前50个地址发出带有 W97M_MELISSA病毒的电子邮件