病毒分析-宏病毒特征
在Word和其他微软Office系列办公软件中,宏分为两种。 内建宏 位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等。 全局宏 位于Office模板中,为所有文档所共用,如打开Word程序(AutoExec)。 宏病毒的传播路线: 单机:单个Office ...
原文:【宏病毒】Word宏病毒简单分析
前言 最近对Office系列宏病毒比较感兴趣,网上找了一个Word样本练练手,宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行,或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单,查看VBA代码基本就能知道病毒执行的内容,但是如果代码中的函数 变量 字符串等都经过混淆,分析起来难度就会提高。 详细分析 诱导用户启用宏代码 如果启用内容,宏代码就会执行, ...
2020-01-08 21:11 0 702 推荐指数:
相关推荐
excel文档中了宏病毒--
excel宏病毒,阻止用户打开excel文件,而且会自动感染其他的excel文档。它的明显表现就是:每次打开excel文档的时候都会先自动打开一个book1文档,然后提示你打开的excel文档有宏,所以要解决excel宏病毒,首先要禁止excel宏病毒(XF.sic.gen)怎么生成 ...
关于宏病毒的原理及其防范技术
1、 宏病毒的基本概念 如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒,如果woro系统中的模板包含了宏病毒,我们称word系统感染了宏病毒。 2、 宏病毒来源 虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒.但当打开一个含有可能携带病毒的宏的文档时,它能 ...
Office宏病毒免杀(1)
使用github开源工具EvilClippy进行宏病毒混淆免杀:https://github.com/outflanknl/EvilClippy/releases 注意需要将这两个文件下载在同一个文件夹下,不要只下载EvilClippy.exe而忘记下载OpenMcdf.dll ...
脚本病毒分析扫描专题1-VBA代码阅读扫盲、宏病毒分析
。在分析带有宏病毒的样本前,我们需要对VBA有所了解。才能更顺畅地了解病毒发展中的手段和变化。 2、 ...
宏病毒研究——实战研究篇
本文作者:i春秋作家——icq5f7a075d 宏病毒专辑:https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3. 宏病毒实例分析 3.1 实例1 接下来,我将以 ...
Excel K4宏病毒专杀
打开execl文档 发现二义性的名称:auto_open 打开execl文档 发现二义性的名称:auto_open 重装也不行---------------------又见这个问题,很不幸,你可能中了宏病毒。上次帮一个家伙解决这个问题,我还以为是他自己写的宏呢,结果搞得我所有excel文件都被感染 ...
CobaltStrike 生成office宏病毒进行钓鱼攻击
关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率。微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力。如完打开word文件同时要打开某个文件的功能,必须要自己编写一段称之为宏的脚本。具体做法是在“工具”菜单 ...