宏病毒的研究与实例分析03——宏病毒处理篇1

宏病毒处理思路和实例分析 在本文中，我们将主要讨论宏病毒处理思路和实例分析。宏病毒是指嵌入在Microsoft Office文档中的恶意代码，可以对计算机系统造成危害。因此，了解宏病毒的处理思路和实例分析非常重要。 在开始之前，我们需要了解OLE文件的结构。OLE文件是由多个扇区组成的，每个扇区都有其特定的类型和地址。DirectoryEntry类型的扇区是OLE文件的核心组成部分，其中包含了_macros文件的地址信息。 破坏宏标志 在破坏宏标志时，我们可以修改DirectoryEntry类型的扇区的Type位，使其变为非法Directory。这将导致Office办公软件在解析VBA工程时，无法找到_macros文件的地址，从而无法执行宏病毒。 宏清除脚本 根据上述原理，我们可以编写一个Python处理脚本来清除宏病毒。该脚本可以读取OLE文件，找到_macros文件的地址，并将其修改为非法Directory。下面是该脚本的源码： import sys import os.path def readfile(filename, address, size): f = open(filename, 'rb') f.seek(address, 0) cont = f.read(size) f.close() return cont def writefile(filename, address, size): f = open(filename, 'wb') f.seek(address, 0) cont = f.write(0x0) f.close() return cont def classify(filename): filehead = readfile(filename, 0, 8) if (filehead[0] == chr(0xD0) and filehead[1] == chr(0xCF)): return 1 elif (filehead[0] == chr(0x50) and filehead[1] == chr(0x4B)): return 2 else: return 0 def repairdoc(filename): f = open(filename, 'rb') ff = open(newfile, 'wb') cont = f.read() dirsect = readfile(filename, 0x30, 4) diraddr = (0x1000000 * ord(dirsect[3]) + 0x10000 * ord(dirsect[2]) + 0x100 * ord(dirsect[1]) + ord(dirsect[0]) + 1) * 0x200 flag = 0 for i in range(0, 16): dirname = readfile(filename, diraddr + 0x80 * i, 0x10) if dirname == chr(0x4d) + chr(0x00) + chr(0x61) + chr(0x00) + chr(0x63) + chr(0x00) + chr(0x72) + chr(0x00) + chr(0x6f) + chr(0x00) + chr(0x73) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00): typeaddr = diraddr + i * 0x80 + 0x42 cont = cont[:typeaddr] + chr(0x00) + cont[typeaddr + 1:] flag = 1 elif dirname == chr(0x56) + chr(0x00) + chr(0x42) + chr(0x00) + chr(0x41) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00) + chr(0x00): typeaddr = diraddr + i * 0x80 + 0x42 cont = cont[:typeaddr] + chr(0x00) + cont[typeaddr + 1:] flag = 1 在上面的脚本中，我们首先读取OLE文件的DirectoryEntry类型的扇区，找到_macros文件的地址，然后将其修改为非法Directory。这样，Office办公软件将无法找到_macros文件的地址，从而无法执行宏病毒。 宏病毒处理思路和实例分析非常重要。我们可以通过破坏宏标志和清除宏病毒来保护我们的计算机系统。同时，我们也可以使用Python脚本来自动化宏病毒的清除过程，使得我们的工作更加高效。