前言 最近对Office系列宏病毒比较感兴趣，网上找了一个Word样本练练手，宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行，或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单，查看VBA代码基本就能知道病毒执行的内容，但是如果代码中的函数、变量 ...

在Word和其他微软Office系列办公软件中，宏分为两种。 内建宏 位于文档中，对该文档有效，如文档打开（AutoOpen）、保存、打印、关闭等。 全局宏 位于Office模板中，为所有文档所共用，如打开Word程序（AutoExec）。 宏病毒的传播路线： 单机：单个Office ...

excel宏病毒，阻止用户打开excel文件，而且会自动感染其他的excel文档。它的明显表现就是：每次打开excel文档的时候都会先自动打开一个book1文档，然后提示你打开的excel文档有宏，所以要解决excel宏病毒，首先要禁止excel宏病毒（XF.sic.gen)怎么生成 ...

1、 宏病毒的基本概念 如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒，如果woro系统中的模板包含了宏病毒，我们称word系统感染了宏病毒。 2、 宏病毒来源 虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒.但当打开一个含有可能携带病毒的宏的文档时,它能 ...

使用github开源工具EvilClippy进行宏病毒混淆免杀：https://github.com/outflanknl/EvilClippy/releases 注意需要将这两个文件下载在同一个文件夹下，不要只下载EvilClippy.exe而忘记下载OpenMcdf.dll ...

...

Fiddler实战深入研究(二) 阅读目录 Fiddler不能捕获chrome的session的设置 理解数据包统计 请求重定向(AutoResponder) Composer选项卡 Filters选项卡断点调式 Fiddler 中的Stave插件 ...

打开execl文档 发现二义性的名称：auto_open 打开execl文档 发现二义性的名称：auto_open 重装也不行---------------------又见这个问题，很不幸，你可能中了宏病毒。上次帮一个家伙解决这个问题，我还以为是他自己写的宏呢，结果搞得我所有excel文件都被感染 ...