没有合适的资源?快使用搜索试试~ 我知道了~
前言本系列文章将由浅入深对宏病毒进行全面的剖析。本系列文章共有三个部分,第一部分是入门篇,介绍的是基础理论知识,对宏病毒进行实例分析,介绍了宏病毒分析的技巧以及
资源推荐
资源详情
资源评论
前言
基础知识
宏与宏病毒
VB基础
sub与function
VB基本函数
对象
宏病毒实例分析
实例1
oledump.py
宏病毒的分析技巧
自动执行
隐秘执行
调用外部例程和命令执行
字符串隐写
Chr()函数
Replace()函数
CallByname 函数
Alias替换函数名
利用窗体、控件隐藏信息
利用文件属性
恶意行为字符串
宏病毒的防御手段
禁用宏
越过自动宏
恢复被宏病毒破坏的文档
说明
前言
本系列文章将由浅入深对宏病毒进行全面的剖析。本系列文章共有三个部分,第一部分是入门篇,介绍的是基础理论
知识,对宏病毒进行实例分析,介绍了宏病毒分析的技巧以及一些防治手段;第二部分是深入篇,我们会研究更底层
的东西,解析Offcie文档、分析宏数据在文件中的存储方式并研究宏病毒处理的方式;第三部分是实战篇,不定期更
新,分析一些有意思的宏病毒。
基础知识
宏病毒是一种常见的计算机病毒,寄存在文档或模板中,但是并不会直接感染可执行程序。其诞生于上世纪90年代,
自其诞生之日,各种各样的宏病毒不断在网络上涌现。早期的宏病毒是病毒先驱者们展现高超技术的舞台,只感染文
档文件,随着时间的推移,宏病毒的危害也越来越大,宏病毒不再只是感染文档文件,而成为了分发恶意程序的常规
途经。宏病毒的执行简易隐蔽快速,一旦用户打开含有宏病毒的文档,其中的宏病毒就会被执行。
对于攻击者而言,宏病毒是一把利器,尤其是结合了社会工程学的宏病毒。如乌克兰电网事件(BlackEnergy),工
作人员只是打开了一篇看似很正常的文档,然后便造成了无法挽回的损失。不只是BlackEnergy,近来肆虐的各种各
样的勒索软件,都离不开Office宏的帮助。借助传统的宏病毒,一旦用户打开含有宏病毒的文档,其中的宏病毒就会
被执行,释放并激活恶意软件
宏与宏病毒
宏(英文Macro),广义上的定义是:宏就是把一系列的指令组织成一独立的命令,类似C语言中#define宏定义,避
免同一动作的一再重复;狭义上,宏特指office系列办公软件中的宏,Microsoft Office中对宏的定义为“宏就是能够
组织在一起的,可以作为一个独立命令来执行的一系列Word 命令,它能使日常工作变得容易。”本文中提到的宏,采
用了狭义的定义,即office办公软件中的宏。
使用office打开文档文件(demo1.doc)时,有时候我们会遇到如下图所示的“安全警告”,这说明该文档文件中含有宏,
并且office软件设置了“宏禁用”功能。
这个时候,单击“启用内容”按钮,宏就会执行。
使用快捷键Alt+F11可以打开vb编辑器,查看宏代码:
本例中的宏很简单,其作用就是弹出一个对话框。
执行恶意功能的宏就是宏病毒。宏病毒是使用宏语言编写的恶意程序,存在于字处理文档、电子数据表格、数据库、
演示文档等数据文件中,可以在office系列办公软件中运行,利用宏的功能将自己复制到其他数据文件中。宏病毒感
染的是数据文件。宏病毒与传统的病毒有很大的不同,它不感染可执行文件,而是潜伏在Microsoft Office文档中,
一旦用户打开含有宏的文档,其中的宏就会被执行。宏是使用VBA编写的,编写过程简单,任何人只需掌握一些基本
的宏编写技能就可以编写出破坏力巨大的宏病毒。
宏病毒的强大是建立在强大的VBA组件的基础上的。同时,宏病毒与系统平台无关,任何计算机如果能够运行
Microsoft Office办公软件,都有可能感染宏病毒。随着Microsoft Office系列办公软件成为电子文档的工业标准,
Word,Excel和PowerPoint等已成为个人计算机和互联网上广泛使用的文档格式,宏病毒成为传播最广泛,危害最
大的一类病毒。根据文档载体的不同,宏病毒可以细分为很多种,Word、Excel、Access、PowerPoint等都有想应
的宏病毒。
VB基础
宏是使用VB语言编写的,所以在进一步研究宏病毒前,我们必须掌握VB的基础知识。本文介绍的VB知识,只是VB的
皮毛,以便于在接下来宏病毒分析过程中,我们可以迅速理清宏代码。打开demo3.doc,我们以其为例进行讲解。
其代码如下:
剩余16页未读,继续阅读
资源评论
神康不是狗
- 粉丝: 31
- 资源: 338
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功