《计算机病毒电子课件 3 3 1宏病毒分析》由会员分享,可在线阅读,更多相关《计算机病毒电子课件 3 3 1宏病毒分析(18页珍藏版)》请在金锄头文库上搜索。
1、Virus 计算机病毒与防治计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3 3 宏病毒防治 宏病毒特点与检测 宏病毒简介 宏病毒清除与预防 第一讲 宏病毒分析 计算机病毒与防治课程小组 宏操作示例 宏病毒简介 计算机病毒与防治课程小组 宏 就是软件设计者为了在使用软件工作时 避免一再的重复相同的动作 而设计出来的一种工具 它利用简单的语法 把常用的动作写成宏 当再 工作时 就可以直接利用事先写好的宏自动运行 去完成某项特定的任务 而不必再重复相同的动作 宏病毒 就是利用软件所支持的宏命令编写的具有复制和传染能力的宏 宏病毒简介 OFFICE提供了两种创建宏的方法
2、宏录制和Visual Basic编辑器 宏病毒简介 计算机病毒与防治课程小组 1 在用WORD处理文档时 需要同时进行各种不同的动作 每一种动作其 实都对应着特定的宏命令 2 当建立一个文档时 系统首先打开一个通用模版文件 如NORMAL DOT 其中存放了一些新文档的初始化宏程序 3 在处理文档时 WORD总要进行某些宏的操作 须执行模版上有标准名 称的宏程序 4 病毒包含在宏中时 只要染毒的文件被打开 病毒的宏程序就可能会 被执行 进而取得系统控制权 进行感染和破坏 5 为了能广泛地传播 宏病毒大都采用感染通用模版NORMAL DOT的方法 将自己复制到其它文档中去 宏病毒的工作原理 以W
3、ord为例 宏病毒特点 计算机病毒与防治课程小组 1 宏病毒会感染 DOC文档和 DOT模版文件 2 宏病毒的传染通常是WORD在打开一个带宏病毒的文档或 模版时 激活宏病毒 3 多数宏病毒包含A U T O O P E N A U T O C L O S E AUTONEW 和AUTOEXIT 等自动宏 通过这些自动宏病毒取得文 档 模版 操作权 4 宏病毒中总是含有对文档读写操作的宏命令 5 病毒原理简单 制作比较方便 6 传播速度相对较快 宏病毒特点 宏病毒检测 计算机病毒与防治课程小组 宏病毒离不开可供其运行的系统软件 WORD EXCEL 等OFFICE 软件 所以 宏病毒的检测其实
4、非常容易 只要留意一下常用的OFFICE 系统软件是不是 出现了一些不正常的现象 就能大概知道计算机是不是染上了宏病毒 1 通用模版中出现宏 2 无故出现存盘操作 3 WORD功能混乱 无法使用 4 WORD菜单命令消失 5 WORD文档的内容发生变化 6 尝试保存文档时 只允许将文档保存为文档模版的格式 7 文档图标的外形类似模板而非文档图标 宏病毒检测 宏病毒清除 计算机病毒与防治课程小组 感染了宏病毒后 同样可以用防治计算机病毒的软件来查杀 亦可 采用以下方法进行手工处理 1 通过删除宏命令的形式删除宏病毒 2 通过复制粘贴方式清除宏病毒 3 通过删除NORMAL DOT来除掉Word宏
5、病毒 4 通过格式转换清除Word 宏病毒 5 通过高版本的Word发现病毒宏 6 为防万一 在打开怀疑感染了宏病毒的文档时按住SHIFT键 这 样可以避免宏自动运行 如果有宏病毒 则不会加载宏 宏病毒清除 宏病毒的预防 计算机病毒与防治课程小组 1 根据AUTO宏的自动执行的特点 在打开WORD 文档时 可通过禁止所有自动宏 的执行办法来达到防治宏病毒的目的 2 当怀疑系统带有宏病毒时 首先应检查是否存在可疑的宏 也就是一些用户 没有编制过 也不是OFFICE默认提供而出现的宏 特别是出现一些怪名字的宏 肯 定是病毒无疑 将它删除即可 具体做法是 选择 工具 宏 Visual Basic编辑
6、器 删除各宏代码模块即可 3 针对宏病毒感染NORMAL模版的特点 用户在新安装了OFFICE软件后 可打开 一个新文档 将OFFICE的工作环境按照自己的使用习惯进行设置 并将需要使用的 宏一次编制好 做完后保存新文档 这时生成的NORMAL模版绝对没有宏病毒 可将 其备份起来 在遇到有宏病毒感染时 用备份的NORMAL模版覆盖当前的NORMAL模版 可以起到消除宏病毒的作用 宏病毒的预防 计算机病毒与防治课程小组 4 当使用外来可能有宏病毒的WORD文档时 如果没有保留原来文档排版格式 的必要 可先使用WINDOWS自带的写字版来打开 将其转换为写字版格式的文件 保存后 再用WORD调用
7、因为写字版不调用 不记录 不保存任何宏 文档经此 转换 所有附带其上的宏 包括宏病毒 都将丢失 5 考虑到大部分WORD用户使用的是普通的文字处理功能 很少使用宏编程 既然对NORMAL DOT模版很少修改 因此 用户可以选择 工具 选项 保存 页 面 选中 提示保存NORMAL 模版 项 这样 一旦宏病毒感染了WORD文档后用 户从WORD退出时 WORD会提示 更改的内容会影响到公用模版NORMAL 是否保存 这些修改内容 这说明WORD 已感染宏病毒 当然应选择 否 退出后再 采用其他方法杀毒 宏病毒的预防 6 最好把C 盘中的AutoExec bat和Config sys文件设为 只读
8、 把自动执行宏 功能禁止 让宏病毒无法被激活 在Word中 选择 工具 选项 进入 常规 标签 选取 宏病毒保护 这样Word 就有了防止自动宏执行的功能 当然 我 们也可以用下面的命令行来使自动宏无效 Winword exe m 注 在打开Word 文档 时 按住Shift 键也有同样的作用 同时 选择 工具 宏 安全性 将安全 级设置为最高 并且取消 可靠来源 中的 信任所有安装的加载项和模版 这 让我们在预防宏病毒时更加有效 宏操作示例 计算机病毒与防治课程小组 1 宏的录制 在这里举一实例 例如 在Word 2003中 要插入字符 则往往要到符号 框中查找半天 对于一些常用的符号 如
9、便可以使用宏来使工作简 化 第一步 单击 工具 选单中 宏 子选单 再单击 录制新宏 选项 宏操作示例 计算机病毒与防治课程小组 第二步 给宏取名为 Macro1 再单击 键盘 第三步 在弹出的对话框中指定快捷键 关闭该对话框回到 录制 宏 对话框 单击 确定 按钮启动记录器 宏操作示例 计算机病毒与防治课程小组 第四步 运行 插入 选单 中的 符号 子选单 从弹出的 符号 框中选择 插入后再关闭 另外 也可以指定到工具栏 从弹出的 自定义 对话 框中的 命令 栏中把 Normal NewMacro1 Macro1 拖放到工具栏中 第五步 单击 停止录制 工具栏中的 停止录制 按钮 第六步 单
10、击 工具 选单中 宏 子选单 再单击 Visual Basic编辑器 命令 第七步 双击 工程 Normal 中的 NewMacros 项可以看到由录制生成的宏代码 Sub Macro1 Selection InsertSymbol Font 楷体 GB2312 CharacterNumber 27 Unicode True End Sub 宏操作示例 计算机病毒与防治课程小组 2 宏的编辑 单击 工具 选单中 宏 子选单 再单击 Visual Basic编辑器 命令 选择已存在的宏或新建一个模块 在代码区中 即可编辑代码 宏操作示例 计算机病毒与防治课程小组 例如 在C My Documen
11、t中有200个Word文档 依次命名为 1 doc 2 doc 3 doc 200 doc 我们需要把文件格式改变为 文本文件 即txt文件 先以1 doc为例 录制一个宏 打开文档 另存为txt文件 再关闭该 活动文档 生成的 Visual Basic代码如下 Sub Macro1 ChangeFileOpenDirectory C My document Documents Open FileName 1 doc ActiveDocument SaveAs FileName 1 txt FileFormat wdFormatText ActiveWindow Close End Sub 宏
12、操作示例 计算机病毒与防治课程小组 Sub Macro1 dim i for i 1 to 200 ChangeFileOpenDirectory C My document Documents Open FileName i doc ActiveDocument SaveAs FileName i txt FileFormat wdFormatText ActiveWindow Close next i End Sub 下一步便是进行编辑 用 Visual Basic编辑器 打开录制的宏 修 改为用一个循环语句依次打开各个文件 转化后再关闭 代码如下 再次运行该宏 便可以轻松完成批量任务 本讲小结 宏病毒特点 宏病毒原理与检测 宏病毒清除于预防方法 掌握典型宏病毒 行为分析 具有一 定的反病毒能力 计算机病毒与防治课程小组 宏操作示例 Virus
