宏病毒实验
1. 实验目的
（1）理解宏病毒的概念、病毒机制、传播手段以及预防措施。

（2）观察一个简单宏病毒感染计算机后的现象，并寻找清除病毒的方法。

2. 实验原理
宏（Macro）是微软公司出品的Office软件包中所包含的一项特殊功能。

微软公司设计此项功能的主要目的是给用户自动执行一些重复性的工作提供方便。

它利用简单的语法，把常用的动作写成宏，用户工作时就可以直接利用事先编写好的宏自动运行，以完成某项特定的任务，而不必反复重复相同的工作。

微软的Word Visual Basic for Application(VBA)是宏语言的标准。

宏病毒正是利用Word VBA 编写的一些宏，是一种寄存在文档或模板中的计算机病毒。

一旦打开含有宏病毒的文档，其中的宏就会执行，宏病毒被激活，转移到计算机中并驻留在Normal 模板上。

以后所有自动保存的文档都会感染上这种宏病毒。

预防宏病毒有以下几种基本的方法：
（1）防止执行自动宏：可以通过在DOS提示符下输入指令”WinWord.exe /m DisableAutoMacro”来防止打开Word文档时执行自动宏。

另外，在打开或关闭文档时按下Shift键可以使文档不执行任何自动宏。

（2）保护Normal模板：可以采取以下几种方法对Normal模板进行保护。

提示保存Normal模板；设置Normal模板的只读属性；设置密码保护；设置安全级别；按照自己的习惯设置Normal模板并进行备份，当被病毒感染时，使用备份模板覆盖当前模板。

（3）使用DisableAutoMacro功能。

3. 实验环境
虚拟机下Windows server 2003
4. 实验内容
本实验拟在虚拟机下感染一个简单的宏病毒，然后观察病毒对计算机有什么影响，最后寻求清除方法。

5. 实验步骤
1、打开一台虚拟机，并运行病毒文件。

2、病毒运行后，每个几秒钟就会弹出一个对话框，无法关闭，重启后依旧运行，也就是电脑感染了病毒。

同时，打开任务管理器，会发现多了几个不明进程，结束后会自动恢复。

3、观察病毒对计算机造成的影响：
（1）频繁弹出对话框，影响正常操作；
（2）内存占用逐渐增大，最终导致计算机崩溃。

4、清除病毒。

首先结束VirtualVirus.exe进程。

5、结束进程taskmgr.exe和explorer.exe。

这两个进程互相保护，所以要结束这两个进程有两种方法：
方法1：用Windows的任务管理器中的结束进程树的方法。

该方法的缺点是不知道进程的路径，可能误结束系统进程。

方法2：使用可以同时结束两个进程的进程管理器，如IceSword，通过该进程管理器不仅可以看到进程名，还可以看到进程路径，这样就不会误删系统进程。

由于虚拟机上没有相应的进程管理器软件，本实验采用第一种方法（为避免
误结束系统进程，我在感染病毒之前已经通过进程大小辨认好了系统进程）。

6、修改注册表。

删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runexplor er和taskmgr两个键
7、删除病毒副本。

删除C:\WINDOWS\system32\explorer.exe和C:\WINDOWS\taskmgr.exe。

（如果无法删除请用360等杀毒软件粉碎即可）
7、至此，病毒就从计算机中清除了。

6、实验总结
本次实验让我对宏病毒有了一个初步的认识理解，并且通过一个简单的感染以及清除实例，更加直观鲜明地便显出了宏病毒的特征、危害性等，使我们对宏病毒具备了一定的防范意识和感染后的处理措施，总的来说，本次实验还是非常有实践意义的，不仅增强了理论知识，也丰富了我们的动手操作的实践经验，获益匪浅。