宏病毒的基本知识                        王宇航                        09283020
宏病毒
一、宏病毒的基本知识
vb编程基础知识计算机宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
运行环境:microsoft  office  word
特点:宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。宏病毒作为一种新型病毒有其特点与共性。
1.传播极快
  Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染
  宏病毒  ,而对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。特别是Internet网络的普及,Email的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就有40多个宏病毒,而国际上普通病毒种类已达12000多种。
2.制作、变种方便
  以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严
重。
3.破坏可能性极大
  鉴于宏病毒用WordBasic语言编写,WordBasic语言提供了许多系统级底层调用,如直接使用DOS系统命令,调用WindowsAPI,调用DDE或DLL等。这些操作均可能对系统直接构成威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。
4.多平台交叉感染
  宏病毒冲破了以往病毒在单一平台上传播的局限,当WORDJXCEL这类著名应用软件在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上运行时,会被宏病毒交叉感染。
二、作用机制
Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordB
ASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。宏病毒与以往的计算机病毒不同,它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样,它以VB(WORDBASIC)高级语言的方式直接混杂在文件中,并加以传播,不感染程序文件,只感染文档文件。也许有人会问:MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗?回答既是肯定的又是否定的。.DOC文件是一个代码和数据的综合体。虽然这些代码不能直接运行在x86的CPU上,但是可以由Word解释执行操作,因此他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。 Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于
缺省的公用模板(Normal.dot)。可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。WORD处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ePrint等。WORD打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,WORD就启动它,除非在此之前系统已经被“取消宏(DisableAutoMacros)”命令设置成宏无效。当然,如果AutoClose宏存在,则系统在关闭一个文件时,会自动执行它。
三、查杀方法
Microsoft公司的Word字处理软件因其功能强大,使用方便等诸多优点受到广大使用者的青睐,版本从2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不断升级。Word的推广使用,确实为文本处理工作带来了极大的便利,但随之而来的宏病毒也平添了不少烦脑。宏病毒困扰着用Word处理的文本,轻则文本不能正常存储,重则变成乱码,甚至磁盘被格式化,使许多普通用户谈“宏”变。实际上,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防治。
  Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据、文本类文件造成破坏。Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序,简化一些经常重复性的操作,与DOS中的批处理文件类似。Word宏的编制技术,与其它复杂的编程技术相比,要求很低很容易编制,这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。但也正因其编制简单,使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。