文物2 - 2006-12-8 15:47:00
作者: sunx
为了了解宏病毒,就必须读它的原代码,可是有时候宏是加密的,(Execute-only Macro),
1。 重命名Normal.dot。起动word。
// 防止word启动时就带上了宏病毒
2。 新建一个宏,专门用于读带毒文件中的宏代码(只是原理)
Sub Main
DisableAutoMacros //很关键,防止引入宏病毒
Dim D As FileOpen
GetCurValue D
Diolog D
FileOpen D //这一段用于打开带毒文件
MacroCopy D.Name+":"+"CAP", "sourceCAP",0
MacroCopy D.Name+":"+"AutoOpen", "notAuotOpen",0
...
//以CAP宏病毒为例,将宏代码拷贝到normal.dot
//其中参数0表示可编辑,非0表示加密
FileClose 2
Sub End
3。 运行上面的宏,将宏代码拷贝到normal.dot
//注意要改变宏的名字
4。 阅读宏代码
5。 关闭word,恢复原来的 normal.dot。
© 2000 - 2024 Rising Corp. Ltd.