瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 【转贴】如何查看宏病毒代码
文物2 - 2006-12-8 15:47:00
作者: sunx

为了了解宏病毒,就必须读它的原代码,可是有时候宏是加密的,(Execute-only Macro),

1。 重命名Normal.dot。起动word。
// 防止word启动时就带上了宏病毒
2。 新建一个宏,专门用于读带毒文件中的宏代码(只是原理)

Sub Main
DisableAutoMacros //很关键,防止引入宏病毒
Dim D As FileOpen
GetCurValue D
Diolog D
FileOpen D //这一段用于打开带毒文件
MacroCopy D.Name+":"+"CAP", "sourceCAP",0
MacroCopy D.Name+":"+"AutoOpen", "notAuotOpen",0
...
//以CAP宏病毒为例,将宏代码拷贝到normal.dot
//其中参数0表示可编辑,非0表示加密
FileClose 2
Sub End

3。 运行上面的宏,将宏代码拷贝到normal.dot
//注意要改变宏的名字
4。 阅读宏代码

5。 关闭word,恢复原来的 normal.dot。
1
查看完整版本: 【转贴】如何查看宏病毒代码