第六章宏病毒
第六章 宏病毒
本章的学习目标 掌握宏病毒概念 掌握宏病毒制作机制 ·了解宏病毒实例 ·掌握宏病毒防范方法 掌握宏病毒实验
本章的学习目标 • 掌握宏病毒概念 • 掌握宏病毒制作机制 • 了解宏病毒实例 • 掌握宏病毒防范方法 • 掌握宏病毒实验
宏病毒定义 宏病毒是利用系统的开放性专门制作的 个或多个具有病毒特点的宏的集合,这种 病毒宏的集合影响到计算机的使用,并能 通过文档及模板进行自我复制及传播
宏病毒定义 • 宏病毒是利用系统的开放性专门制作的一 个或多个具有病毒特点的宏的集合,这种 病毒宏的集合影响到计算机的使用,并能 通过文档及模板进行自我复制及传播
支持宏病毒的应用系统特点 要达到宏病毒传染的目的,系统须具备以 下特性: 可以把特定的宏命令代码附加在指定文件上; 可以实现宏命令在不同文件之间的共享和传 递; 可以在未经使用者许可的情况下获取某种控制 权
支持宏病毒的应用系统特点 • 要达到宏病毒传染的目的,系统须具备以 下特性: – 可以把特定的宏命令代码附加在指定文件上; – 可以实现宏命令在不同文件之间的共享和传 递; – 可以在未经使用者许可的情况下获取某种控制 权
可支持宏病毒的应用系统 · Microsoft公司的WORD、 EXCEL、 Access PowerPoint、 Project、 Visio等产品; prise公司的 Lotus amiPro字处理软件 此外,还包括 AutoCAD、 Corel draw PDF等等
可支持宏病毒的应用系统 • Microsoft公司的WORD、EXCEL、Access、 PowerPoint、Project、Visio等产品; • Inprise公司的Lotus AmiPro字处理软件; • 此外,还包括AutoCAD、Corel Draw、 PDF等等
宏病毒的特点 传播极快 制作、变种方便 破坏可能性极大 ·多平台交叉感染 ·地域性问题
宏病毒的特点 • 传播极快 • 制作、变种方便 • 破坏可能性极大 • 多平台交叉感染 • 地域性问题
宏病毒的共性 ·宏病毒会感染D○C文档文件和DOT模板文 件 打开时激活,通过 Norma模板传播 通过 AutoOpen, Autoclose, Autonew和 AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指
宏病毒的共性 • 宏病毒会感染DOC文档文件和DOT模板文 件。 • 打开时激活,通过Normal模板传播。 • 通过AutoOpen,AutoClose,AutoNew和 AutoExit等自动宏获得控制权。 • 病毒宏中必然含有对文档读写操作的宏指 令
宏病毒的作用机制 ·模板在建立整个文档 中所起的作用是作为 类别 宏名 运行条件 一个基类。新文档继 自动宏 AutoExec启动Word或加载全局模 板时 承模板的属性(包括 AutoNew每次创建新文 宏、菜单、格式等)。 AutoOpen每次打开已存在的文档 ·编制宏病毒要用到的 AutoClose在关闭文档时 宏如右表 Autoexit在退出Word或卸载全局 模板时 标准宏 Filesave保存文件 Filesave改名另存为文件 FinePrint打印文件 FileOpen打开文件
宏病毒的作用机制 • 模板在建立整个文档 中所起的作用是作为 一个基类。新文档继 承模板的属性(包括 宏、菜单、格式等)。 • 编制宏病毒要用到的 宏如右表 类别 宏 名 运行条件 自动宏 AutoExec 启动Word或加载全局模 板时 AutoNew 每次创建新文档时 AutoOpen 每次打开已存在的文档 时 AutoClose 在关闭文档时 AutoExit 在退出Word或卸载全局 模板时 标准宏 FileSave 保存文件 FileSaveA s 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件
·Word宏病毒感染过程 编制语言 VBAWWord basic等 ·环境:VBE 打开被感 把宏加载到 宏病毒将自 新建(打开) 染的文档 内存 运行自动宏叫己复制到全 局模板 的文档被感染
• Word宏病毒感染过程 • 编制语言VBA\WordBasic等 • 环境:VBE 打开被感 染的文档 把宏加载到 内存 运行自动宏 宏病毒将自 己复制到全 局模板 新建(打开) 的文档被感染
经典宏病毒-美丽莎 Melissa 这个病毒专门针对微软的电子邮件服务器 MS Exchange和电子邮件收发软件 Outlook Express,是一种Word宏病毒,利用微软 的Word宏和 Outlook Express发送载有80个 色情文学网址的列表,它可感染Word97或 Word2000。当用户打开一个受到感染的 Word97或Word2000文件时,病毒会自动 通过被感染者的 MS EXchange和 Outlook EXpress的通讯录,给前50个地址发出带有 W97 M MELISSA病毒的电子邮件
经典宏病毒-美丽莎 Melissa • 这个病毒专门针对微软的电子邮件服务器 MS Exchange和电子邮件收发软件Outlook Express,是一种Word宏病毒,利用微软 的Word宏和Outlook Express发送载有80个 色情文学网址的列表,它可感染Word 97或 Word 2000。当用户打开一个受到感染的 Word 97或Word 2000文件时,病毒会自动 通过被感染者的MS Exchange 和Outlook Express的通讯录,给前50个地址发出带有 W97M_MELISSA病毒的电子邮件