内容提纲
1. 计算机病毒概述
2. 脚本病毒及防御技术
3. 网页病毒及防御技术
4. 宏病毒及防御技术
5. Windows PE文件病毒及防御技术
6. 批处理文件病毒技术
7. U盘病毒及防御技术
8. 计算机病毒演化策略
1/15/2021
宏病毒技术专题知 识宣讲
0
第4章 宏病毒技术
主要内容 1. 宏病毒的定义 2. 宏病毒的特征 3. 宏病毒基本原理 4. 宏病毒的防治 5. 宏病毒演示实验
如果全局宏模板被感染，则Word再启动的时候将自动载 入宏技术专题知 识宣讲
10
4.2 宏病毒
宏病毒的控制权获取
控制权的获取
用户使用Word执行打开文档、保存文档、打印文 档和关闭文档等操作时，Word会查找指定的“内 建宏”
• 关闭文档之前查找“FileSave”宏，如果存在，首 先执行这个宏
1/15/2021
宏病毒技术专题知 识宣讲
2
4.1 宏病毒的定义
宏病毒定义
宏病毒：
利用系统的开放性专门制作的一个或多个具有病 毒特点的宏的集合，这种病毒宏的集合影响到计 算机的使用，并能通过文档及模板进行自我复制 及传播。
1/15/2021
宏病毒技术专题知 识宣讲
3
4.1 宏病毒的定义
支持宏病毒的应用系统特点
行的宏当然是最好的宿主
1/15/2021
宏病毒技术专题知 识宣讲
11
4.2 宏病毒原理 宏语言
Office程序和它们所使用的宏语言
Office程序版本
Word 6.x, 7.x
Excel 5.x, 7.x
Office 97, Word 8.0, Excel 6.0\8.0, Project 98, Access 8.0
1/15/2021
宏病毒技术专题知 识宣讲
7
4.2 宏病毒原理 宏病毒的作用机制
模板在建立整个文档中所 起的作用是作为一个基类 。新文档继承模板的属性 （包括宏、菜单、格式等 ）。
编制宏病毒要用到的宏如 右表所示：
类别 宏 名
运行条件
自动宏 AutoExec AutoNew
启动Word或加载全局 模板时
1/15/2021
宏病毒技术专题知 识宣讲
1
4.1 宏病毒的定义
宏病毒的基本原理
宏，译自英文单词Macro
所谓宏，就是软件设计者为了让人们在使用软件进 行工作时，避免一再地重复相同的动作而设计出来 的一种工具，它利用简单的语法，把常用的动作写 成类似批处理命令的多行代码的集合，即宏
为了方便人们的使用，Word定义出一种文件格式 ，将文档，以及该文档所需要的宏合在一起放在后 缀为.dot的文件之中。正因为这种是宏也是资料的 文档格式，便产生了宏感染的可能性
要达到宏病毒传染的目的，系统须具备以下特性：
可以把特定的宏命令代码附加在指定文件上； 可以实现宏命令在不同文件之间的共享和传递； 可以在未经使用者许可的情况下获取某种控制权
。
1/15/2021
宏病毒技术专题知 识宣讲
4
4.1 宏病毒的定义
可支持宏病毒的应用系统
1. Microsoft公司的Word、Excel、Access、 PowerPoint、Project、Visio等产品；
• 属于Word应用程序，所有打开的文档公用的宏，如 AutoOpen宏
Word宏病毒一般都首先隐藏在一个指定的Word文档中， 一旦打开了这个Word文档，宏病毒就被执行，宏病毒要 做的第一件事情就是将自己拷贝到全局宏的区域，使得所 有打开的文档都可使用这个宏
当Word退出的时候，全局宏将被存储在某个全局的模板 文档(.dot文件)中，这个文件的名字通常是“normal.dot” ，即normal模板
Office 2K, Outlook 2K, FrontPage 2K
Office XP, Outlook 2002, Word 2002, Access 2002, FrontPage 2002
宏语言
WordBasic VBA 3.0 VBA 5.0 VBA 6.0 VBA 6.3
1/15/2021
• 打印文档之前首先查找“FilePrint”宏，如果存在 则执行这个宏
• Word中另外还有一些以“Auto”开始的宏，如 “AutoOpen”、“AutoClose”等，如果建立了 这些宏，打开/关闭文档的时候将自动执行这些宏 ，这些宏一般是全局宏，对任何Word文档都有效
。病毒触发要隐含在正常的操作中，这些自动执
1/15/2021
宏病毒技术专题知 识宣讲
6
4.2 宏病毒原理 宏病毒的共性
1. 宏病毒会感染DOC文档文件和DOT模板文件； 2. 打开时激活，通过Normal模板传播； 3. 通过AutoOpen，AutoClose，AutoNew和
AutoExit等自动宏获得控制权； 4. 病毒宏中必然含有对文档读写操作的宏指令。
宏病毒技术专题知 识宣讲
12
5.3 宏病毒
5.3.2 宏病毒的基本原理
宏病毒的自我隐藏
基本的隐藏措施
On Error Resume Next '如果发生错误，不弹出出错窗口，继续执行下面语句
2. Inprise公司的Lotus AmiPro字处理软件； 3. AutoCAD、Corel Draw、PDF等等。
1/15/2021
宏病毒技术专题知 识宣讲
5
4.1 宏病毒的定义
宏病毒特点
1. 传播极快 2. 制作、变种方便 3. 破坏可能性极大 4. 多平台交叉感染 5. 地域性问题
8
4.2 宏病毒原理 Word宏病毒感染过程
编程语言：VBA、WordBasic等 运行环境：VBE
1/15/2021
宏病毒技术专题知 识宣讲
9
4.2 宏病毒原理
宏病毒的基本原理
宏病毒的传播方式
在Word或其他Office程序中，宏分成两种
• 在某个文档中包含的内嵌宏，如FileOpen宏
每次创建新文档时
AutoOpen AutoClose
每次打开已存在的文 档时
在关闭文档时
1/15/2A0ut2o1Exit
标准宏 FileSave
在退出Word或卸载全 局模板时
保存文件
FileSaveAs 改名另存为文件
FilePrint FileOpen
打印文件 打开文件
宏病毒技术专题知 识宣讲