1、計算機病毒原理與防范胡繼榮制作胡繼榮制作 病毒起因病毒起因 計算機病毒的起因多種多計算機病毒的起因多種多 樣，有的是計算機工作人員或樣，有的是計算機工作人員或 業余愛好者為了純粹尋開心而制業余愛好者為了純粹尋開心而制 造出來造出來, 有的則是為防止自己的有的則是為防止自己的 產品被非法拷貝而制造的報復性產品被非法拷貝而制造的報復性 懲罰。一般可分為這樣幾種情況：懲罰。一般可分為這樣幾種情況：1.1.惡作?。好绹的螤柎髮W的莫里斯，編寫蠕蟲程序肇惡作?。好绹的螤柎髮W的莫里斯，編寫蠕蟲程序肇事后，被稱為電腦奇才，一些公司出高薪爭相聘用他。事后，被稱為電腦奇才，一些公司出高薪爭相聘用他。2.2.加

2、密陷阱論：巴基斯坦病毒是世界上唯一給出加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國一家電腦商病毒作者姓名、地址的病毒。由該國一家電腦商店的兩兄弟編寫，目的是追蹤軟件產品的非法用店的兩兄弟編寫，目的是追蹤軟件產品的非法用戶。戶。3.3.游戲程序起源：游戲程序起源：19601960年美國人約翰康維在編寫年美國人約翰康維在編寫生命游戲程序時，萌發了程序自我自制技術。其生命游戲程序時，萌發了程序自我自制技術。其程序運行時屏幕上有許多生命元素圖案在運動變程序運行時屏幕上有許多生命元素圖案在運動變化，元素在過于擁擠和稀疏時都會因缺少生存條化，元素在過于擁擠和稀疏時都會因缺少生存

3、條件而死亡，只有處于合適環境中的元素才能自我件而死亡，只有處于合適環境中的元素才能自我復制并進行傳播。復制并進行傳播。4.4.政治、經濟和軍事：一些組織和個人也會編制政治、經濟和軍事：一些組織和個人也會編制一些程序勝于進攻對方電腦，給對方造成災難或一些程序勝于進攻對方電腦，給對方造成災難或直接經濟損失。直接經濟損失。病毒與計算機犯罪病毒與計算機犯罪F莫里斯事件：莫里斯事件：19881988年年1111月月2 2日，康奈爾大學計算機科學日，康奈爾大學計算機科學系研究生羅但特系研究生羅但特. .莫里斯制造的蠕蟲案件。莫里斯制造的蠕蟲案件。 F震蕩波事件：震蕩波事件：20042004年德國年德國18

4、18歲的技校生為顯示自己的歲的技校生為顯示自己的才能才能, ,用自己組裝的電腦編寫了一個名為用自己組裝的電腦編寫了一個名為“震蕩波震蕩波”的程的程序。該病毒不是通常意義上的病毒，而是一種以某種程序。該病毒不是通常意義上的病毒，而是一種以某種程序語言編寫的程序文本。造成了全球巨大經濟損失。美序語言編寫的程序文本。造成了全球巨大經濟損失。美國德爾塔航空公司取消周末全部航班、歐萌委員會國德爾塔航空公司取消周末全部航班、歐萌委員會12001200臺計算機失靈、芬蘭一家銀行關閉全部營業處。臺計算機失靈、芬蘭一家銀行關閉全部營業處。 F混客絕情炸彈：混客絕情炸彈：20012001年由黑龍江年由黑龍江171

5、7歲的高中學生池某歲的高中學生池某制造。制造。 什么是計算機病毒感染標記：即病毒簽名。常以感染標記：即病毒簽名。常以ASCASC方式放在程序里。方式放在程序里。破壞模塊：實現病毒編寫者預定的破壞模塊：實現病毒編寫者預定的破壞動作代碼。破壞動作代碼。觸發模塊：根據預定條件是否滿足，觸發模塊：根據預定條件是否滿足，控制病毒的感染或破壞?？刂撇《镜母腥净蚱茐?。主控模塊：包括調用感染模塊主控模塊：包括調用感染模塊, ,進行進行感染；調用觸發模塊，接受其返回感染；調用觸發模塊，接受其返回值；根據返回值決定是否執行破壞。值；根據返回值決定是否執行破壞。分類方法有很多。分類方法有很多。根據攻擊系統分類：攻擊

6、根據攻擊系統分類：攻擊DOS型、型、攻擊攻擊WINDOWS型、攻擊型、攻擊UNIX型、型、攻擊攻擊OS/2型。型。根據攻擊機型分：微型計算機病毒、根據攻擊機型分：微型計算機病毒、小型計算機病毒、工作站病毒。小型計算機病毒、工作站病毒。根據病毒鏈接方式分：源碼型、嵌根據病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統型。入型、外殼性、操作系統型。按破壞情況分按破壞情況分:良性病毒、惡性病毒良性病毒、惡性病毒按傳播媒介分按傳播媒介分:單機病毒、網絡病毒單機病毒、網絡病毒計算機病毒的特點計算機病毒的特點可執行性可執行性傳染性傳染性潛伏性潛伏性可觸發性可觸發性破壞性破壞性攻擊主動性攻擊主動性針對性針對

7、性非授權性非授權性隱蔽性隱蔽性衍生性衍生性寄生性寄生性不可預見性不可預見性欺騙性欺騙性持久性持久性計算機病毒的結構計算機病毒的結構計算機病毒的分類計算機病毒的分類計算機病毒技術基礎計算機病毒技術基礎文件系統文件系統馮馮. .諾依曼諾依曼體系結構體系結構WINDOWS程序工作原理程序工作原理磁盤結構磁盤結構 計算機病毒的制造、傳染和發計算機病毒的制造、傳染和發作，依賴于具體的計算機硬件與軟作，依賴于具體的計算機硬件與軟件，必須符合這些硬件和軟件系統件，必須符合這些硬件和軟件系統的規范要求，而這些規范要求實際的規范要求，而這些規范要求實際就是計算機病毒的技術基礎。不同就是計算機病毒的技術基礎。不同

8、的計算機硬件環境、不同的軟件環的計算機硬件環境、不同的軟件環境，都會制造出不同的病毒。境，都會制造出不同的病毒。 了解和掌握計算機硬件與軟件的了解和掌握計算機硬件與軟件的基礎知識，對我們分析了解計算機基礎知識，對我們分析了解計算機病毒技術的特點、工作原理是十分病毒技術的特點、工作原理是十分必要的。必要的。馮馮. .諾依曼機體系結構諾依曼機體系結構 馮馮. .諾依曼是是諾依曼是是2020世紀最杰出的數學家之一，于世紀最杰出的數學家之一，于19451945年提出年提出了了“程序內存式程序內存式”計算機的設計思想。這一卓越的思想為電子計計算機的設計思想。這一卓越的思想為電子計算機的邏輯結構設計奠定了

9、基礎，已成為計算機設計的基本原則。算機的邏輯結構設計奠定了基礎，已成為計算機設計的基本原則。 馮馮. .諾依曼式計算機的硬件由五大部件構成：諾依曼式計算機的硬件由五大部件構成：輸入設備輸入設備外存儲器外存儲器輸出設備輸出設備程序程序存儲器存儲器計算結果計算結果控制器控制器外部設備接口外部設備接口運算器運算器原始數據原始數據指令指令控制信號控制信號存數存數取數取數磁盤結構磁盤結構 了解磁盤的結構及其數據組織的特點，對于檢測和預防計了解磁盤的結構及其數據組織的特點，對于檢測和預防計算機病毒具有十分重要的意義。算機病毒具有十分重要的意義。 硬盤盤面以轉軸中心為圓心，被均勻地劃分成若干個半徑不硬盤盤面

10、以轉軸中心為圓心，被均勻地劃分成若干個半徑不等的稱為磁道的同心圓，不同盤面上的相同直徑的磁道，在垂直等的稱為磁道的同心圓，不同盤面上的相同直徑的磁道，在垂直方向構成一個叫做柱面的圓柱。顯然柱面數等于磁道數。方向構成一個叫做柱面的圓柱。顯然柱面數等于磁道數。 磁道由首部、磁道由首部、1818個扇區和尾部構成。扇區由標識區個扇區和尾部構成。扇區由標識區(ID(ID區區) )、間隙、數據區和間隙組成。每個扇區為間隙、數據區和間隙組成。每個扇區為512B512B。首部首部尾部尾部扇區扇區1扇區扇區NIDID區區間隙間隙間隙間隙間隙間隙IDID區區數據區數據區扇區扇區2索引信號索引信號容量容量= =碰頭

11、數碰頭數磁道數磁道數/ /面面扇區數扇區數/ /磁道磁道512B/512B/扇區扇區標識扇區的標識扇區的開始與記錄開始與記錄目標地址的目標地址的信息信息硬盤的數據組織硬盤的數據組織 磁盤的扇區定位有兩種方法：物理扇區與邏輯扇區。硬盤的磁盤的扇區定位有兩種方法：物理扇區與邏輯扇區。硬盤的物理扇區由驅動器號、磁頭號物理扇區由驅動器號、磁頭號(面號面號)、柱面號與扇區號四個參數、柱面號與扇區號四個參數組成。組成。 每一種操作系統要想在硬盤上建立自己的分區，必須由一個每一種操作系統要想在硬盤上建立自己的分區，必須由一個自己特有的實用程序來進行操作。硬盤初始化時，經過分區后建自己特有的實用程序來進行操作

12、。硬盤初始化時，經過分區后建立一個主引導分區和其他幾個分區。見下圖：立一個主引導分區和其他幾個分區。見下圖：主引導扇區主引導扇區 保留保留FATFAT區區DOSDOS引導扇區引導扇區目錄區目錄區數據區數據區系統隱藏分區系統隱藏分區DOS分區分區1DOS分區分區2位于硬盤的位于硬盤的0 0磁頭磁頭0 0柱面柱面1 1扇區，是硬盤的第扇區，是硬盤的第1 1物理扇區，包括硬盤主引導程序代碼、四物理扇區，包括硬盤主引導程序代碼、四個分區表信息和主引導記錄有效標志等內個分區表信息和主引導記錄有效標志等內容。該區受損時可用容。該區受損時可用 FDISK/MBRFDISK/MBR的的DOSDOS命令命令來重

13、建主引導程序和主引導記錄有效標志，來重建主引導程序和主引導記錄有效標志，分區信息不會被修改。分區信息不會被修改。主引導扇區結構與文件系統主引導扇區結構與文件系統區區 域域內內 容容0000H-01BDH0000H-01BDH01BFH-01CDH01BFH-01CDH01CEH-01DDH01CEH-01DDH01DEH-01EDH01DEH-01EDH01EEH-01FDH01EEH-01FDH01FEH-01FFH01FEH-01FFH主引導程序代碼主引導程序代碼分區表分區表1 1分區表分區表2 2分區表分區表3 3分區表分區表4 455AAH55AAH主引導記錄有效標志主引導記錄有效標志

14、用戶可用用戶可用DEBUGDEBUG來查看主引導記錄。來查看主引導記錄。 文件系統是操作系統中借以組織、存儲和命名文件的結構。文件系統是操作系統中借以組織、存儲和命名文件的結構。磁盤或分區和它所包括的文件系統的不同是很重要的，大部分應磁盤或分區和它所包括的文件系統的不同是很重要的，大部分應用程序都基于文件系統進行操作，在不同種文件系統上是不能工用程序都基于文件系統進行操作，在不同種文件系統上是不能工作的。作的。磁盤文件系統磁盤文件系統 DOS/WINDOWS DOS/WINDOWS系統操作系統中共使用了系統操作系統中共使用了6 6種不同的文件系統：種不同的文件系統：FAT12FAT12、FAT

15、16FAT16、FAT32FAT32、NTFSNTFS、NTFS5.0NTFS5.0、WinFSWinFS。LINUXLINUX系統使用的系統使用的主要是主要是Ext2Ext2、Ext3Ext3，也能識別，也能識別FAT16FAT16分區。分區。FAT12FAT12：文件名只能是：文件名只能是8.38.3格式；磁盤容量最大格式；磁盤容量最大8M8M；文件磁片嚴重；文件磁片嚴重HAT16:HAT16:大容量磁盤利用率低；分區創建的越大，造成的浪費越大。大容量磁盤利用率低；分區創建的越大，造成的浪費越大。FAT32FAT32：文件分配表擴大后，速度減慢；不能向下兼容；當分區：文件分配表擴大后，速度

16、減慢；不能向下兼容；當分區小于小于512M512M時，該格式不起作用，單個文件不能超過時，該格式不起作用，單個文件不能超過4G4G。NTFSNTFS：有出色的安全性和穩定性，且不易產生故善人碎片，對用：有出色的安全性和穩定性，且不易產生故善人碎片，對用戶權限有非常嚴格的限制。但兼容性不好戶權限有非常嚴格的限制。但兼容性不好NTFS5.0NTFS5.0：可支持：可支持2T2T的分區，是可恢復的文件系統；支持對分區、的分區，是可恢復的文件系統；支持對分區、文件夾和文件的壓縮以及動態分區。文件夾和文件的壓縮以及動態分區。WinFSWinFS: :建立在建立在NTFSNTFS文件系統之上。請上微軟官方

17、網站查看。文件系統之上。請上微軟官方網站查看。Ext2Ext2：是：是LINUX/GUNLINUX/GUN系統中的標準文件系統。存取文件性能好。系統中的標準文件系統。存取文件性能好。Ext3Ext3：是上述系統的下一代，目前離實用階段還的一段距離。是：是上述系統的下一代，目前離實用階段還的一段距離。是一個日志式文件系統。一個日志式文件系統。 在在Windows9xWindows9x、NTNT、20002000下，所有的下，所有的Win32Win32可執行文件可執行文件( (除除VxDVxD與與DLL)DLL)都是基于都是基于MicrosoftMicrosoft設計的一種新的文件格式：可移植的設

18、計的一種新的文件格式：可移植的執行體執行體, ,即即PEPE格式。該格式的一些特性源自格式。該格式的一些特性源自UNIXUNIX的的COFF(COFF(命令目命令目標文件標文件) )文件格式。文件格式。WindowsWindows下感染可執行文件的病毒，就必須下感染可執行文件的病毒，就必須對對PEPE格式的可執行文件進行修改。格式的可執行文件進行修改。PEPE文件結構格式如下：文件結構格式如下：Home PageGame DirectionsMZ MS-DOS頭部頭部MS-DOS實模式殘余程序（實模式殘余程序（DOS stub)PE00 PE文件標志文件標志PE文件頭文件頭PE文件可選頭部文件

19、可選頭部節表（節表（section table)節節1節節2節節3節節nPEPE文件格式文件格式1.調用調用API函數進行函數進行 文件搜索文件搜索2.采用遞歸與非遞歸采用遞歸與非遞歸 算法進行搜索算法進行搜索3.內存映射文件內存映射文件 1.1.利用程序的返回利用程序的返回 地址地址, ,在其附近搜在其附近搜 索索Kernel32Kernel32模塊模塊 基地址基地址2.2.對相應操作系統對相應操作系統 分別給出固定的分別給出固定的 Kernel32模塊基模塊基 地址地址我們在編程用常量和變量我們在編程用常量和變量時，一般直接用名字訪問時，一般直接用名字訪問, ,編譯后通過偏移地址訪問編譯后

20、通過偏移地址訪問, ,而計算機病毒在感染宿主而計算機病毒在感染宿主程序時程序時, ,要插入到宿主程序要插入到宿主程序的代碼空間的代碼空間, ,肯定要用到變肯定要用到變量和常量量和常量. .當病毒感染當病毒感染hosthost程序后程序后, ,由于依附到由于依附到hosthost程程序中的位置不同序中的位置不同, ,病毒隨病毒隨hosthost載入內存后載入內存后, ,病毒的各病毒的各變量常量在內存中的位置變量常量在內存中的位置自然也隨之變化自然也隨之變化. .病毒必須病毒必須采用重定位技術才能使自己采用重定位技術才能使自己正常運行正常運行WIN32WIN32病毒分析病毒分析概概 念念組組 成成

21、分分 類類特特 征征植入方法植入方法 特特 洛洛 伊伊 木馬木馬一種能夠在受害者毫無察覺的情況下滲透到系統的代碼一種能夠在受害者毫無察覺的情況下滲透到系統的代碼硬件部分硬件部分軟件部分軟件部分具體連接部分具體連接部分遠程控制型遠程控制型密碼發送型密碼發送型鍵盤記錄型鍵盤記錄型毀壞型毀壞型FTP型型多媒體型多媒體型隱蔽性隱蔽性自動運行性自動運行性 欺騙性欺騙性 自動恢復性自動恢復性 功能特殊性功能特殊性軟件復制軟件復制電子郵件電子郵件 發送超鏈接發送超鏈接 緩沖區溢出攻擊緩沖區溢出攻擊 WINDOWS WINDOWS程序設計是一種事件驅動方式的程序設程序設計是一種事件驅動方式的程序設 計模式。其

22、應用程序最大的特點就是程序無固定計模式。其應用程序最大的特點就是程序無固定 的流程，只是針對某個事件的處理有特定的子流的流程，只是針對某個事件的處理有特定的子流 程，程，WINDOWSWINDOWS應用程序就是由許多這樣的子流程應用程序就是由許多這樣的子流程 構成的。構成的。 WINDOWSWINDOWS應用程序本質上是面向對象的。程序提供應用程序本質上是面向對象的。程序提供 給用戶界面的可視圖像在程序內部一般也是一個給用戶界面的可視圖像在程序內部一般也是一個 對象，用戶對可視對象的操作通過事件驅動模式對象，用戶對可視對象的操作通過事件驅動模式 觸發相應對象的可用方法。程序的運行就是用戶觸發相

23、應對象的可用方法。程序的運行就是用戶 外部操作不斷產生事件，這些事件又被相應的對外部操作不斷產生事件，這些事件又被相應的對 象處理的過程。象處理的過程。 CIHCIH病毒剖析病毒剖析 CIH CIH病毒是一種文件型病毒病毒是一種文件型病毒, ,是第一例感染是第一例感染WINDOWSWINDOWS環境下的環境下的PEPE格式文件的病毒。目前格式文件的病毒。目前CIHCIH病毒有多個版本，最流行的是病毒有多個版本，最流行的是CIH1.2CIH1.2版本。版本。受感染的受感染的EXE文件的文件長度未改變。文件的文件長度未改變。DOS及及Win3.1格式的或執行文件不受感染，且在格式的或執行文件不受感

24、染，且在WinNT中無效中無效查找包含查找包含EXE特征特征 “CIHv”過程中顯示一大堆符合查找特征的可執行文件過程中顯示一大堆符合查找特征的可執行文件4月月26日開機會黑屏、硬盤指示燈閃爍、重新開機時無法啟動日開機會黑屏、硬盤指示燈閃爍、重新開機時無法啟動CIHCIH病毒的表現形式、危害及傳播途徑病毒的表現形式、危害及傳播途徑CIHCIH病毒的運行機制病毒的運行機制碎洞攻擊，將病毒化整為零插入到宿主文件中，利用碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫特點，芯片可重寫特點，發作時向主板發作時向主板BIOS中寫入亂碼，開創了病毒直接進攻硬件的行先例。中寫入亂碼，開創了病

25、毒直接進攻硬件的行先例。CIHCIH病毒程序的組成病毒程序的組成引導模塊：感染了該病毒的引導模塊：感染了該病毒的EXE文件運行時修改文件程序的入口地址文件運行時修改文件程序的入口地址傳染模塊：病毒駐留內存過程中調用傳染模塊：病毒駐留內存過程中調用WINDOWS內核底層內核底層表現模塊表現模塊腳本病毒腳本病毒 腳本宿主簡稱腳本宿主簡稱WSHWSH，是一種與語言無關的腳本宿主，可用于，是一種與語言無關的腳本宿主，可用于與與WINDOWSWINDOWS腳本兼容的腳本引擎。腳本兼容的腳本引擎。WSHWSH是一種是一種WINDOWSWINDOWS管理工具。管理工具。當腳本到達計算機時，當腳本到達計算機時

26、，WSHWSH先充當主機的一部分，它使對象和服務先充當主機的一部分，它使對象和服務可用于腳本，并提供一系列腳本執行指南?？捎糜谀_本，并提供一系列腳本執行指南。 腳本語言的前身實際上就是腳本語言的前身實際上就是DOSDOS系統下的批處理文件。腳本的系統下的批處理文件。腳本的應用是對應用系統的一個強大的支撐，需要一個運行環境。現在應用是對應用系統的一個強大的支撐，需要一個運行環境?，F在比較流行的腳本語言的比較流行的腳本語言的Unix/Linux shellUnix/Linux shell、VBScriptVBScript、PHPPHP、 JavaScriptJavaScript、JSPJSP等?，F

27、在流行的腳本病毒大都是利等。現在流行的腳本病毒大都是利JavaScriptJavaScript和和VBScriptVBScript編寫。編寫。 JavaScriptJavaScript是一種解釋型的、基于對象的腳本語言，是一種寬是一種解釋型的、基于對象的腳本語言，是一種寬松類型的語言，不必顯式地定義變量的數據類型。大多數情況下，松類型的語言，不必顯式地定義變量的數據類型。大多數情況下，該語言會根據需要自動進行轉換。該語言會根據需要自動進行轉換。 VBScriptVBScript使用使用ActiverXActiverX Script Script與宿主應用程序對話。與宿主應用程序對話。VBSVB

28、S腳本病毒腳本病毒 該病毒是用該病毒是用VBScript編寫的，其腳本語言功能非常強大，編寫的，其腳本語言功能非常強大，利用利用WINDOWS系統的開放性特點，通過調用一些現成的系統的開放性特點，通過調用一些現成的WINDOWS對象、組件，可直接對文件系統、注冊表等進行控對象、組件，可直接對文件系統、注冊表等進行控制，功能非常強大。制，功能非常強大。VBS腳本病毒具有如下特點：腳本病毒具有如下特點：v 編寫簡單編寫簡單v破壞力大破壞力大v感染力強感染力強v傳播范圍廣傳播范圍廣v病毒碼容易被獲取、變種多病毒碼容易被獲取、變種多v欺騙性強欺騙性強v病毒生產機實現起來非常容易病毒生產機實現起來非常容

29、易VBSVBS病毒機理病毒機理 感染方法：感染方法：一般直接通過自我復制進行感染，病毒中的絕大部分代一般直接通過自我復制進行感染，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。如新歡樂時光病毒可將碼都可以直接附加在其他同類程序的中間。如新歡樂時光病毒可將自己的代碼附加在自己的代碼附加在htm文件的尾部，并在頂部加入一條調用病毒代文件的尾部，并在頂部加入一條調用病毒代碼的語句；而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼碼的語句；而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，拷入其中，并以原文件名作為病毒文件名的前綴，VBS作為后綴。作

30、為后綴。 傳播方式：傳播方式：通過通過E-mail附件傳播、通過局域網共享傳播、通過感染附件傳播、通過局域網共享傳播、通過感染htm、asp、jsp、php等網頁文件傳播、通過等網頁文件傳播、通過IRC聊天通道傳播。聊天通道傳播。 病毒加載：病毒加載：修改注冊表項、通過映射文件執行方式、欺騙用戶，讓修改注冊表項、通過映射文件執行方式、欺騙用戶，讓用戶自己執行、用戶自己執行、Desktop.ini和和Folder.htt互相配合。互相配合。 對抗反病毒的方法：對抗反病毒的方法：自加密、運用自加密、運用Execute函數、改變對象的聲明函數、改變對象的聲明方法、直接關閉反病毒軟件。方法、直接關閉反

31、病毒軟件。VBSVBS腳本病毒的防范腳本病毒的防范VBSVBS病毒具有一些弱點：病毒具有一些弱點：n運行是時需要用到一個對象：運行是時需要用到一個對象：FileSystemObjectFileSystemObjectn代碼通過代碼通過Windows Script HostWindows Script Host來解釋執行來解釋執行n運行時需要其關聯程序運行時需要其關聯程序Wscript.exeWscript.exe的支持的支持n通過網頁傳播的病毒需要通過網頁傳播的病毒需要ActiveXActiveX的支持的支持n通過通過E-mailE-mail傳播的病毒需要傳播的病毒需要OEOE的自動發送郵件功

32、能支持，但絕的自動發送郵件功能支持，但絕大多數病毒都是以大多數病毒都是以E-mailE-mail為主要傳播方式的為主要傳播方式的預防措施：預防措施：禁用文件系統對象禁用文件系統對象FileSystemObjectFileSystemObject卸載卸載Windows Script HostWindows Script Host刪除刪除VBSVBS、VBEVBE、JSJS、JSEJSE文件后綴名與應用程序的映射文件后綴名與應用程序的映射在在WindowsWindows目錄中找到目錄中找到Wscript.exeWscript.exe，更名或刪除，更名或刪除在瀏覽器安全選項中將在瀏覽器安全選項中將“ActiveX”ActiveX”控件及插件設為禁用控件及插件設為禁用禁止禁止OEOE的自動收發郵件功能的自動收發郵件功能不要隱藏系統中書籍文件類型的擴展名不要隱藏系統中書籍文件類型的擴展名安裝防病毒軟件安裝防病毒軟件宏病毒宏病毒 Microsoft Word Microsoft Word對宏的定義是：能組織到一起作為一個獨立的對宏的定義是：能組織到一起作為