資源描述:
《信息安全 10系統(tǒng)惡意程序2new》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1、第十章計(jì)算機(jī)惡意程序與病毒第十章計(jì)算機(jī)惡意程序與病毒五、宏病毒(MacroVirus)一種利用應(yīng)用程序宏語言編制的計(jì)算機(jī)病毒,它附著在某個(gè)文件上,當(dāng)用戶打開這個(gè)文件時(shí),宏病毒就被激活,并產(chǎn)生連鎖性的感染。針對(duì)MSOffice的宏病毒通常感染W(wǎng)ord的DOT模板文件,尤其是Normal.dot是系統(tǒng)中大部分文檔和字模板的基礎(chǔ),系統(tǒng)缺省狀態(tài)下該模板文件首先被打開,若該文件被病毒感染,當(dāng)它被打開時(shí),病毒就會(huì)擴(kuò)散到其他文檔和模板。迫使正在編輯的文檔以指定模板格式存盤,以便進(jìn)行傳播。宏病毒無法附著在標(biāo)準(zhǔn)格式的DOC文件中,只有
2、文檔模板可以存儲(chǔ)實(shí)際的宏代碼,從而作為病毒載體。第十章計(jì)算機(jī)惡意程序與病毒1。宏的概念宏(Macro)是微軟公司為其OFFICE軟件包設(shè)計(jì)的一個(gè)特殊功能,軟件設(shè)計(jì)者為了讓人們?cè)谑褂密浖M(jìn)行工作時(shí),避免一再地重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具,它利用簡(jiǎn)單的語法,把常用的動(dòng)作寫成宏,當(dāng)在工作時(shí),就可以直接利用事先編好的宏自動(dòng)運(yùn)行,去完成某項(xiàng)特定的任務(wù),而不必再重復(fù)相同的動(dòng)作,目的是讓用戶文檔中的一些任務(wù)自動(dòng)化。OFFICE中的WORD和EXCEL都有宏。Word便為大眾事先定義一個(gè)共用的通用模板(Normal.dot),
3、里面包含了基本的宏。只要一啟動(dòng)Word,就會(huì)自動(dòng)運(yùn)行Normal.dot文件。如果在Word中重復(fù)進(jìn)行某項(xiàng)工作,可用宏使其自動(dòng)執(zhí)行。Word提供了兩種創(chuàng)建宏的方法:宏錄制器和VisualBasic編輯器。第十章計(jì)算機(jī)惡意程序與病毒2。宏病毒的概念1995年出現(xiàn)第一例,1996年出現(xiàn)5種,目前,已經(jīng)出現(xiàn)或變異成了上千種,其破壞性已經(jīng)從良性發(fā)展到惡性。宏病毒編制機(jī)理由JoelMcNamara所公開,通過Internet網(wǎng)絡(luò)的主題新聞組和電子公告牌詳細(xì)闡述了計(jì)算機(jī)文檔、電子郵件以及OLE環(huán)境的安全脆弱性,闡述了采用宏編寫特
4、殊程序(病毒)的可能性和文檔,并公開了完整的、帶注釋的源程序DMV(DocumentMacroVirus),該文檔本身有意感染上病毒,這個(gè)源程序則成為以后那些別有用心的人編制宏病毒的教材和示例。第十章計(jì)算機(jī)惡意程序與病毒1)宏病毒是怎樣傳播的?一個(gè)宏病毒傳播主要發(fā)生在被感染的宏指令覆蓋、改寫及增加全局宏指令表中的宏,由此進(jìn)一步感染隨后打開和存貯的所有Doc文檔。當(dāng)Word打開一個(gè).doc文件時(shí),先檢查里面有沒有模板/宏代碼,如果有,就認(rèn)為這不是普通的doc文件,而是一個(gè)模版文件,并執(zhí)行里面的auto類的宏(如果有的話
5、)。一般染毒后的.doc被打開后,通過Auto宏或菜單、快捷鍵和工具欄里的特洛伊木馬來激活,隨后感染諸如Normal.dot或powerup.dot等全局模板文件得到系統(tǒng)“永久”控制權(quán)。奪權(quán)后,當(dāng)系統(tǒng)有文檔存儲(chǔ)動(dòng)作時(shí),病毒就把自身復(fù)制入此文檔并儲(chǔ)存成一個(gè)后綴為.doc的模板文件;另外,當(dāng)一定條件滿足時(shí),病毒發(fā)作。第十章計(jì)算機(jī)惡意程序與病毒2)宏病毒本身的局限性由于只有模板文件才能儲(chǔ)存宏指令,所以宏病毒只能以模板文件形式傳播。而Word在存儲(chǔ)模板文件時(shí)(SaveAS/另存為時(shí)),不能選擇保存類型,只能存為"文檔模板"(
6、.dot)。由此,很容易判斷出一個(gè)文件是否為一個(gè)模板文件。如果是一個(gè)以.doc為后綴的模板文件,那么可以肯定的說,這是一個(gè)被染毒的文件,或者是一個(gè)"宏病毒遺體"。宏病毒具有如下特征:①與操縱系統(tǒng)平臺(tái)無關(guān)它可以感染DOS,Windows,Win95,WinNT,MAC等系統(tǒng)下的文檔和模板。②利用MSWord字處理軟件特性自動(dòng)裝載病毒宏代碼③感染數(shù)據(jù)文件宏病毒可以感染DOC,DOT,XLS等類型的數(shù)據(jù)文件④檢測(cè)消除困難第十章計(jì)算機(jī)惡意程序與病毒宏病毒正常文件模板正常文件模板病毒模板宏病毒主要針對(duì)微軟軟件OFFICE,包括
7、Word,Excel,Powerpoint等病毒模板附著在正常程序后部病毒程序用宏BASIC語言寫成,可用VB工具讀出。第十章計(jì)算機(jī)惡意程序與病毒3)宏病毒防御與消除對(duì)付“宏”宏病毒通過Auto宏和特洛伊木馬來激活,通過修改全局模板文件來傳播,因此,首先要禁止Word執(zhí)行Auto類的宏。如果不用向?qū)ь惸0?其后綴一般為.wiz,一般人很少用),就完全可以禁止Auto宏的執(zhí)行,方法很簡(jiǎn)單,自己建立一個(gè)宏,名字叫做Autoexec,里面內(nèi)容寫上一句:DisableAutoMacros1即可,此宏是Auto宏里的老大,僅在
8、Word啟動(dòng)時(shí)執(zhí)行一次,即使有人對(duì)它作了篡改,只要不重起Word就不會(huì)起作用。第十章計(jì)算機(jī)惡意程序與病毒對(duì)付特洛伊木馬對(duì)付特洛伊木馬,要建立自己的工作環(huán)境。計(jì)算機(jī)病毒能大規(guī)模傳染的一大原因是:環(huán)境的一致。如果每臺(tái)機(jī)器都有其特殊之處,那么計(jì)算機(jī)病毒就很難傳播和存活。Word本身有著很強(qiáng)的定制功能,它可以被病毒利用進(jìn)行傳播,也可以被我們用來抵御病毒