返回
信息安全 10系统恶意程序2new

信息安全 10系统恶意程序2new

ID:42948609

大小:188.00 KB

页数:54页

时间:2019-09-26

信息安全 10系统恶意程序2new_第1页
信息安全 10系统恶意程序2new_第2页
信息安全 10系统恶意程序2new_第3页
信息安全 10系统恶意程序2new_第4页
信息安全 10系统恶意程序2new_第5页
资源描述:

《信息安全 10系统恶意程序2new》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第十章计算机恶意程序与病毒第十章计算机恶意程序与病毒五、宏病毒(MacroVirus)一种利用应用程序宏语言编制的计算机病毒,它附着在某个文件上,当用户打开这个文件时,宏病毒就被激活,并产生连锁性的感染。针对MSOffice的宏病毒通常感染Word的DOT模板文件,尤其是Normal.dot是系统中大部分文档和字模板的基础,系统缺省状态下该模板文件首先被打开,若该文件被病毒感染,当它被打开时,病毒就会扩散到其他文档和模板。迫使正在编辑的文档以指定模板格式存盘,以便进行传播。宏病毒无法附着在标准格式的DOC文件中,只有

2、文档模板可以存储实际的宏代码,从而作为病毒载体。第十章计算机恶意程序与病毒1。宏的概念宏(Macro)是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板(Normal.dot),

3、里面包含了基本的宏。只要一启动Word,就会自动运行Normal.dot文件。如果在Word中重复进行某项工作,可用宏使其自动执行。Word提供了两种创建宏的方法:宏录制器和VisualBasic编辑器。第十章计算机恶意程序与病毒2。宏病毒的概念1995年出现第一例,1996年出现5种,目前,已经出现或变异成了上千种,其破坏性已经从良性发展到恶性。宏病毒编制机理由JoelMcNamara所公开,通过Internet网络的主题新闻组和电子公告牌详细阐述了计算机文档、电子邮件以及OLE环境的安全脆弱性,阐述了采用宏编写特

4、殊程序(病毒)的可能性和文档,并公开了完整的、带注释的源程序DMV(DocumentMacroVirus),该文档本身有意感染上病毒,这个源程序则成为以后那些别有用心的人编制宏病毒的教材和示例。第十章计算机恶意程序与病毒1)宏病毒是怎样传播的?一个宏病毒传播主要发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的所有Doc文档。当Word打开一个.doc文件时,先检查里面有没有模板/宏代码,如果有,就认为这不是普通的doc文件,而是一个模版文件,并执行里面的auto类的宏(如果有的话

5、)。一般染毒后的.doc被打开后,通过Auto宏或菜单、快捷键和工具栏里的特洛伊木马来激活,随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统“永久”控制权。夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀为.doc的模板文件;另外,当一定条件满足时,病毒发作。第十章计算机恶意程序与病毒2)宏病毒本身的局限性由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播。而Word在存储模板文件时(SaveAS/另存为时),不能选择保存类型,只能存为"文档模板"(

6、.dot)。由此,很容易判断出一个文件是否为一个模板文件。如果是一个以.doc为后缀的模板文件,那么可以肯定的说,这是一个被染毒的文件,或者是一个"宏病毒遗体"。宏病毒具有如下特征:①与操纵系统平台无关它可以感染DOS,Windows,Win95,WinNT,MAC等系统下的文档和模板。②利用MSWord字处理软件特性自动装载病毒宏代码③感染数据文件宏病毒可以感染DOC,DOT,XLS等类型的数据文件④检测消除困难第十章计算机恶意程序与病毒宏病毒正常文件模板正常文件模板病毒模板宏病毒主要针对微软软件OFFICE,包括

7、Word,Excel,Powerpoint等病毒模板附着在正常程序后部病毒程序用宏BASIC语言写成,可用VB工具读出。第十章计算机恶意程序与病毒3)宏病毒防御与消除对付“宏”宏病毒通过Auto宏和特洛伊木马来激活,通过修改全局模板文件来传播,因此,首先要禁止Word执行Auto类的宏。如果不用向导类模板(其后缀一般为.wiz,一般人很少用),就完全可以禁止Auto宏的执行,方法很简单,自己建立一个宏,名字叫做Autoexec,里面内容写上一句:DisableAutoMacros1即可,此宏是Auto宏里的老大,仅在

8、Word启动时执行一次,即使有人对它作了篡改,只要不重起Word就不会起作用。第十章计算机恶意程序与病毒对付特洛伊木马对付特洛伊木马,要建立自己的工作环境。计算机病毒能大规模传染的一大原因是:环境的一致。如果每台机器都有其特殊之处,那么计算机病毒就很难传播和存活。Word本身有着很强的定制功能,它可以被病毒利用进行传播,也可以被我们用来抵御病毒

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。