Определение приоритетов в выполнении автоматически исполняемых макросов

ЛАБОРАТОРНАЯ РАБОТА № 1

«исследование защитных механизмов Word 8.0–11.0»

 

Цели работы

1. Исследовать эффективность защитных механизмов одного из текстовых процессоров Microsoft Word версий 8.0–11.0.

2. Исследовать причины образования технологического информационного «мусора», возникающего при обработке конфиденциальных документов в программной среде Word.

3. Детально разобраться с алгоритмами инфицирования, используемыми вредоносными макросами.

Исследование механизмов образования информационного «технологического мусора»

1. Установите в меню Word <Сервис>–<Параметры>–<Сохранение> временной интервал автосохранения документа, равный 1 минуте. В этом же окне установите режим Всегда создавать резервную копию.

2. Создайте новый документ и сохраните его с именем = вашими ФИО.

3. Поработайте в режиме свободного набора текста не менее 5 минут (например, откройте один из справочных файлов Windows и перепишите (либо построчно скопируйте) в свой документ несколько абзацев). Несколько раз сохраните документ «вручную».

4. Проверьте объем созданного файла и сопоставьте его с количеством введенных символов (количество символов в тексте можно узнать в Свойствах документа: <Файл>–<Свойства>–<Статистика>). На каждый символ в кодировке UNICODE требуется 2 байта. Чем вызвана несоразмерность объема файла с его содержанием?

5. Найдите все временные файлы, созданные приложением во время работы над документом. Можете ли вы идентифицировать временные файлы Word по их именам? Можно ли узнать, какому именно документу соответствуют те или иные временные файлы? Просмотрите несколько временных файлов в разных каталогах с помощью файлового менеджера Far в кодировке UNICODE (F3 – просмотр файла, Shift+F8 – изменение кодировки символов). Доступны ли файлы для просмотра и что в них находится?

6. Закройте созданный документ. Какие из временных файлов при этом были логически удалены? Завершите работу с приложением Word и наблюдайте за оставшимися временными файлами. Какие из них остаются после закрытия Word? Можете ли вы при необходимости восстановить удаленные файлы? Каким образом?

7. Вновь откройте созданный файл в Word. Установите в меню <Сервис>–<Параметры>–<Сохранение> режим Разрешить быстрое сохранение. Продолжайте работать с документом, добавляя в него новые фрагменты (желательно большого размера), изменяя и удаляя прежние. После каждого добавления и удаления сохраняйте файл. После 7–8 минут работы оцените размер файла и сопоставьте его с реальным объемом текста.

8. Просмотрите созданный документ в кодировке UNICODE с помощью Far или HxD. Имеются ли различия с тем содержимым документа, которое вы наблюдаете в среде Word?

9. Сохраните и закройте созданный документ. Изменился ли объем его файла? Сделайте выводы в отношении режима быстрого сохранения.

10. Попробуйте определить, какой из резервных (временных) файлов используется для восстановления документа в случае сбоя в работе. Для этого принудительно завершите сеанс работы Word из системы. Это можно сделать, нажав комбинацию клавиш Ctrl–Alt–Del, выделив в выведенном окне программу Microsoft Word и выбрав кнопку Завершить задачу. После очередного запуска Word автоматически загрузит «поврежденный» документ.

Sub AutoOpen()

MsgBox «Работает процедура глобального шаблона»

End Sub

3. Создайте новый документ. Повторно откройте окно Макрос, найдите на нем командную кнопку Организатор и нажмите ее. Word выведет новое диалоговое окно, с помощью которого можно копировать макросы из шаблона в документ и обратно. Обратите внимание на то, что копируется не одна процедура, а весь модуль NewMacros. Для этого выделите NewMacros и нажмите кнопку Копировать. Аналогичный модуль кода будет создан в новом документе.

4. Измените сообщение, которое должно выводиться при запуске автомакроса из документа. Для этого откройте окно редактора VBE (<Сервис>–<Макрос>–<Редактор Visual Basic>), найдите или откройте в нем дочернее окно менеджера проектов (Проект или Project). Далее выберите название проекта, соответствующее имени документа, щелкните мышью по значку «+» слева от названия и откройте программный модуль NewMacros. В окне текста программ измените текст сообщения, как это указано ниже:

Sub AutoOpen()

End Sub

Можно предложить альтернативный вариант копирования программного кода. Для этого, находясь в редакторе VBE, следует открыть два окна текста программ: шаблона и документа, выделить текст программы в одном окне, скопировать его в буфер, а затем вставить в другое окно.

5. Сохраните документ под именем Документ с сообщением Иванов.doc в папке Мои документы и закройте его.

6. Создайте второй документ. По аналогии с предыдущими пунктами скопируйте в него автомакрос с сообщением, а затем измените текст выводимого сообщения:

Sub AutoOpen()

End Sub

7. Сохраните этот документ как общий шаблон (<Файл>–<Сохранить как>: тип файла – шаблон документа, имя файла – Общий шаблон с сообщением Иванов.dot). Для того чтобы сделать общий шаблон загружаемым автоматически, необходимо сохранить его в папке StartUp. Путь к этой папке можно узнать, открыв диалоговое окно <Сервис>–<Параметры>–<Расположение>, строка Автозагружаемые. После сохранения закройте созданный общий шаблон.

8. Откройте диалоговое окно <Сервис>-<Шаблоны и надстройки>. С помощью кнопки Добавить найдите местонахождение сохраненного общего шаблона и выберите его. Убедитесь, что имя шаблона появилось в среднем окне Общие шаблоны и надстройки и отмечено галочкой. Щелкните кнопку ОК, и окно закроется.

9. Создайте третий документ. По аналогии с вышеприведенной методикой скопируйте в него автомакрос и измените текст сообщения следующим образом:

Sub AutoOpen()

End Sub

10. Сохраните третий документ в папке Мои документы с именем Присоединенный шаблон Иванов.dot и типом файла Шаблон документа, после чего закройте его.

11. Откройте ранее сохраненный Документ с сообщением Иванов. Какое из сообщений будет выведено на экран?

12. С помощью меню <Сервис>-<Шаблоны и надстройки> откройте диалоговое окно Шаблоны и надстройки и с помощью кнопки Присоединить найдите ранее сохраненный Присоединенный шаблон Иванов. Сохраните изменения в документе и закройте его вместе с приложением. Теперь у вас имеется три типа шаблонов и один документ, и в каждом из них размещена одна и та же автоматически запускаемая процедура. Поскольку окно сообщений MsgBox обладает модальностью, одновременно может быть выведено только одно сообщение. По очередности вывода сообщений можно узнать, какой из вышеупомянутых файлов имеет приоритет в исполнении кода. При этом одноименные программные модули могут конфликтовать друг с другом, что иногда сопровождается сообщением об ошибке.

13. Найдите в папке Мои документы файл с именем Документ с сообщением Иванов и откройте его. Какое сообщение будет выведено на экран? Что можно сказать о макросах, хранимых в других файлах?

14. Откройте еще какой–либо документ. Если нет документов формата Microsoft Word, можно открыть документ другого формата. Какое сообщение вы получаете в этом случае?

15. Закройте файл Документ с сообщением Иванов. Не закрывая приложения, вновь откройте этот же документ, удерживая нажатой левую кнопку Shift клавиатуры. Какое сообщение выведено на экран? Почему?

16. Войдите в редактор VBE и удалите программный код макроса AutoOpen() из файла Документ с сообщением Иванов. Сохраните изменения в документе и закройте его.

17. Вновь откройте Документ с сообщением Иванов. Какое сообщение вы получили на этот раз? Укажите в отчете приоритет в выполнении автоматически запускаемых макросов из файлов Microsoft Word. Усматриваете ли вы в заданном приоритете угрозу инфицирования глобального шаблона через уже зараженный документ? Закройте Документ с сообщением Иванов.

18. В редакторе VBЕ откройте окно кода NewMacros глобального шаблона Normal.dot и создайте новую процедуру AutoExec() следующего вида:

Sub AutoExec()

WordBasic.DisableAutoMacros

End Sub

Эта команда будет действовать в течение одного сеанса работы Word.

19. Закройте и вновь откройте Microsoft Word. Сопровождается ли открытие текстового процессора какими–либо сообщениями?

20. Откройте файл Документ с сообщением Иванов. Удалось ли вам нейтрализовать автомакрос в документе или присоединенном к нему шаблоне? Закройте файл Документ с сообщением Иванов.

21. Удалите процедуру AutoExec() в глобальном шаблоне. Создайте в модуле NewMacros глобального шаблона событийную процедуру, которая будет обрабатывать события, связанные с открытием документов.

Sub FileOpen()

WordBasic.DisableAutoMacros

End Sub

22. Закройте и вновь откройте Microsoft Word. В очередной раз откройте файл Документ с сообщением Иванов (обратите внимание на то, что событийная процедура FileOpen() не работает при открытии недавно открываемых файлов, поименованных в нижних строчках меню Файл). Какое сообщение было выведено на этот раз? Удалось ли вам нейтрализовать автоматические макросы в документе или присоединенном к нему шаблоне? Закройте Документ с сообщением Иванов. Удалите или закомментируйте код процедуры FileOpen() в глобальном шаблоне. Еще несколько раз откройте и закройте Документ с сообщением Иванов. Срабатывают ли автоматические макросы в документе? Почему?

23. Если на компьютере установлен файловый менеджер Far, просмотрите файл Документ с сообщением Иванов в различных кодировках (просмотр F3, переключение кодировок в режиме просмотра – Shift+F8) до и после закрытия паролем. Найдите в теле файла программный код.

24. Установите парольную защиту на программный код Документа с сообщением Иванов. Для этого щелкните правой кнопкой мыши по заголовку проекта документа Project(Документ с сообщением Иванов). В контекстном меню выберите Свойства проекта. В появившемся диалоговом окне выберите закладку Защита (Protection), установите защиту на просмотр кода и дважды введите какой–либо простой пароль. После этого закройте редактор VBE, сохраните и закройте документ.

25. Откройте Документ с сообщением Иванов с установленной парольной защитой на просмотр кода. Срабатывает ли код событийных процедур документа? Попробуйте открыть окна кода модулей ThisDocument и NewMacros. Опишите результат. Происходит ли шифрование кода процедур при установке пароля на проект?

26. Открыв диалоговое окно Шаблоны и настройки, отсоедините от документа Присоединенный шаблон и отключите Общий шаблон. Удалите эти шаблоны из каталогов, в которых они располагаются. Закройте файл Документ с сообщением Иванов.

27. Сделайте выводы относительно результатов исследования приоритетов в запуске автомакросов и возможностей нейтрализации опасного программного кода в открываемых документах Word.

28. Удалите процедуры Sub FileOpen() и Sub AutoExec() из глобального шаблона.

 

Исследование приоритетов в запуске событийных процедур, связанных с открытием документов

1. Измените текст сообщения в процедуре AutoOpen() программного модуля NewMacros глобального шаблона:

Sub AutoOpen()

End Sub

2. Откройте модуль ThisDocument глобального шаблона и введите в окно кода следующую процедуру:

Private Sub Document_Open()

MsgBox “Работает процедура ThisDocument шаблона”

End Sub

3. Закройте и вновь откройте Microsoft Word. Сопровождается ли открытие текстового процессора какими–либо сообщениями?

4. Откройте любой из документов (кроме файла Документ с сообщением Иванов). Какими сообщениями Word сопровождает открытие документа? В какой последовательности? Закройте документ.

5. Откройте Документ с сообщением Иванов. Какая из процедур выполняется?

6. Войдите в редактор VBE, найдите модуль ThisDocument документа и вставьте в него следующую процедуру:

Private Sub Document_Open()

MsgBox “Работает процедура ThisDocument документа”

End Sub

7. Сохраните, закройте и вновь откройте Документ с сообщением Иванов. Отразите в отчете, в какой последовательности выводятся сообщения.

8. Сделайте выводы, отразите их в отчете.

 

Dim AD, NT As Object

Set AD = ActiveDocument.VBProject.VBComponents(1). CodeModule

Set NT = NormalTemplate.VBProject.VBComponents(1). CodeModule

End Sub

4. Изучите второй вариант вирусного заражения. Для этого запишите макрос, сопровождающий процедуру копирования программных модулей типа NewMacros из документов в шаблоны и обратно. Выберите меню <Сервис>-<Макрос>-<Начать запись>, назначьте макросу произвольное имя, а затем уже в режиме записи откройте диалоговое окно Макрос, выберите кнопку Организатор и скопируйте модуль NewMacros из шаблона в документ. Закройте окно Организатор и остановите запись. Войдите в редактор VBЕ и посмотрите записанный код. Измените название макроса на Sub FileSave(). Данная событийная процедура будет инфицировать документ при его сохранении. По аналогии создайте еще одну событийную процедуру (назовите ее FileOpen()), которая будет заражать шаблон при открытии уже инфицированного документа. Опробуйте обе процедуры в действии.

5. Произведите копирование путем экспорта–импорта программного кода с использованием текстовых файлов (им можно присваивать любые имена и расширения). Первая строчка кода, приведенного ниже, экспор­тирует программное содержимое встроенного модуля ThisDocument (он всегда обозначается первым номером) из глобального шаблона в тек­стовый файл, расположенный на логическом разделе C:\. Вторая строчка вставляет содержимое этого же текстового файла в програм­мный модуль NewMacros активного документа. Заключите эти строчки в событийную процедуру, связанную с открытием или сохранением документа, и проверьте, как происходит инфицирование. Обратите внимание на содержимое созданного текстового файла – в нем кроме кода должен содержаться заголовок программного модуля, который считается необязательным.

NormalTemplate.VBProject.VBComponents(1).Export (“C:\

ABCD.txt”)

ActiveDocument.VBProject.VBComponents(2).CodeModule. AddFromFile “C:\ABCD.txt”

6. Сравните между собой три приведенных способа вирусного инфицирования (все в равной степени встречаются в тексте вредоносных макросов). Каковы достоинства и недостатки каждого из способов? Выделите в приведенных фрагментах характерную сигнатуру, позволяющую обнаруживать опасный код в исследуемых макросах. Отразите результаты исследований в отчете.

Private Sub AAA()

End Sub

7. Закройте окно редактора, сохраните и закройте документ. Проверьте, изменился ли его размер. Сколько 512–байтных блоков добавилось к документу?

8. Вновь откройте Документ с макросом. Сработала ли защита от вредоносных макросов?

9. Откройте редактор VBE и полностью удалите каркас процедуры из модуля ThisDocument. Закройте редактор, сохраните и закройте документ. На сколько блоков уменьшился его размер?

10. Вновь откройте документ. Сопровождается ли его открытие предупреждением об опасности?

11. Попробуйте установить минимальную строку в модуле кода, на которую «срабатывает» механизм безопасности. Запишите в модуль кода документа слово Sub, после чего сохраните, закройте и вновь откройте документ. Если защита не сработала и размер файла не увеличился, добавьте имя процедуры, например Sub A. Зафиксируйте момент, когда защита отнесется к внесенной записи как к полноценному и опасному макросу.

12. Аналогичную проверку проведите в отношении ключевого слова Function (функция).

13. Найдите раздел системного реестра, в котором располагается параметр защиты от вредоносных макросов. Методом проб установите соответствие между уровнем защиты, установленным в окне Безопасность, и значением параметра.

14. Доверяет ли Word собственному глобальному шаблону и общим шаблонам на предмет возможности присутствия в них вредоносного кода? Соотносится ли такое доверие с именем каталога, в котором шаблоны по умолчанию размещаются? Внедрите в глобальный шаблон событийную процедуру AutoExec(), которая срабатывает при запуске Word, и убедитесь в ее работоспособности. Попробуйте переместить Normal.dot в другой каталог. Для этого предварительно измените его расположение в настройках Word (<Сервис>-<Параметры>-<Расположение>). Затем завершите работу процессора (активное приложение полностью блокирует свой глобальный шаблон и не позволяет манипулировать им), после чего переместите Normal.dot в назначенное место. Вновь откройте Word и наблюдайте за сообщениями. Сделайте выводы.

15. Можно ли считать надежной реализованную защиту от вирусов в макросах? Какие способы могут использовать злоумышленники для ее обхода?

 

Sub ToolsMacro()

‘ Открытие диалогового окна “Макрос”

End Sub

Sub ViewVBCode()

‘ Вход в интегрированную среду разработки VBE

End Sub

2. Попробуйте открыть диалоговое окно Макрос либо войти в редактор VBA. Почему ваши попытки не удаются? Подобные способы защиты часто используются в текстах вредоносных макросов для того, чтобы пользователь не мог визуально проверить наличие постороннего программного кода. Попробуйте обойти эту блокировку, не закрывая документ. Если не получилось, попытайтесь преодолеть защиту с помощью другого документа с макрокодом.

3. Закройте созданный документ без сохранения.

4. Внедрите вышеуказанные процедуры в глобальный шаблон, после чего закройте и вновь откройте Word. На этот раз обойти защиту, не удаляя глобальный шаблон, будет трудно. Рекомендуется воспользоваться для этого дополнительной панелью Элементы управления, командная кнопка Исходный текст. Результаты отразите в отчете.

5. Напишите процедуру, отключающую командные кнопки и клавиши быстрого вызова окна Макрос и редактора VBE. Проверив результат, возвратите активность элементам управления.

6. Установите парольную защиту на программный проект Normal.dot и постарайтесь ее преодолеть. Сделайте выводы относительно результативности средств маскировки вредоносного макрокода.

 

После представления результатов работы преподавателю убедитесь, что все созданные вами файлы и шаблоны удалены!

 

ЛАБОРАТОРНАЯ РАБОТА № 1

«исследование защитных механизмов Word 8.0–11.0»

 

Цели работы

1. Исследовать эффективность защитных механизмов одного из текстовых процессоров Microsoft Word версий 8.0–11.0.

2. Исследовать причины образования технологического информационного «мусора», возникающего при обработке конфиденциальных документов в программной среде Word.

3. Детально разобраться с алгоритмами инфицирования, используемыми вредоносными макросами.

Исследование механизмов образования информационного «технологического мусора»

1. Установите в меню Word <Сервис>–<Параметры>–<Сохранение> временной интервал автосохранения документа, равный 1 минуте. В этом же окне установите режим Всегда создавать резервную копию.

2. Создайте новый документ и сохраните его с именем = вашими ФИО.

3. Поработайте в режиме свободного набора текста не менее 5 минут (например, откройте один из справочных файлов Windows и перепишите (либо построчно скопируйте) в свой документ несколько абзацев). Несколько раз сохраните документ «вручную».

4. Проверьте объем созданного файла и сопоставьте его с количеством введенных символов (количество символов в тексте можно узнать в Свойствах документа: <Файл>–<Свойства>–<Статистика>). На каждый символ в кодировке UNICODE требуется 2 байта. Чем вызвана несоразмерность объема файла с его содержанием?

5. Найдите все временные файлы, созданные приложением во время работы над документом. Можете ли вы идентифицировать временные файлы Word по их именам? Можно ли узнать, какому именно документу соответствуют те или иные временные файлы? Просмотрите несколько временных файлов в разных каталогах с помощью файлового менеджера Far в кодировке UNICODE (F3 – просмотр файла, Shift+F8 – изменение кодировки символов). Доступны ли файлы для просмотра и что в них находится?

6. Закройте созданный документ. Какие из временных файлов при этом были логически удалены? Завершите работу с приложением Word и наблюдайте за оставшимися временными файлами. Какие из них остаются после закрытия Word? Можете ли вы при необходимости восстановить удаленные файлы? Каким образом?

7. Вновь откройте созданный файл в Word. Установите в меню <Сервис>–<Параметры>–<Сохранение> режим Разрешить быстрое сохранение. Продолжайте работать с документом, добавляя в него новые фрагменты (желательно большого размера), изменяя и удаляя прежние. После каждого добавления и удаления сохраняйте файл. После 7–8 минут работы оцените размер файла и сопоставьте его с реальным объемом текста.

8. Просмотрите созданный документ в кодировке UNICODE с помощью Far или HxD. Имеются ли различия с тем содержимым документа, которое вы наблюдаете в среде Word?

9. Сохраните и закройте созданный документ. Изменился ли объем его файла? Сделайте выводы в отношении режима быстрого сохранения.

10. Попробуйте определить, какой из резервных (временных) файлов используется для восстановления документа в случае сбоя в работе. Для этого принудительно завершите сеанс работы Word из системы. Это можно сделать, нажав комбинацию клавиш Ctrl–Alt–Del, выделив в выведенном окне программу Microsoft Word и выбрав кнопку Завершить задачу. После очередного запуска Word автоматически загрузит «поврежденный» документ.

Определение приоритетов в выполнении автоматически исполняемых макросов

Для выполнения задания необходимо создать автоматически запускаемую событийную процедуру и расположить ее в одном из документов и в различных шаблонах. Пользуясь модальными свойствами окна сообщения, можно отслеживать очередность активизации событийных процедур в файлах формата Microsoft Word.

1. Установите низкий уровень защиты от вирусов в макросах. Для этого откройте окно Безопасность (<Сервис>–<Макрос>–<Безопасность>–<Уровень безопасности>) и установите требуемый уровень защиты, при котором вы сможете свободно создавать и использовать макросы без сообщений, предупреждающих о возможной опасности. В таком режиме можно работать только с теми файлами, которые вы сами создаете и редактируете. На вкладке этого же окна <Сервис>–<Макрос>–<Безопасность>–<Надежные издатели> активизируйте параметры Доверять всем установленным надстройкам и шаблонам и Доверять доступ к Visual Basic Project.

2. Откройте диалоговое окно Макрос (меню <Сервис>–<Макрос>–<Макросы>). Для этого можно нажать командную кнопку Выполнить макрос на панели инструментов Visual Basic. В открывшемся окне введите имя процедуры AutoOpen и нажмите кнопку Создать. Запускается редактор VBE, и в нем открывается окно текста программ Code Window. Тем самым вы уже создали событийную процедуру, которая должна автоматически выполняться при открытии в Word любого документа. Между строками Sub … – End Sub вставьте строку вызова окна сообщений, как это показано ниже:

Sub AutoOpen()