【宏病毒】Word宏病毒简单分析
前言 最近对Office系列宏病毒比较感兴趣,网上找了一个Word样本练练手,宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行,或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单,查看VBA代码基本就能知道病毒执行的内容,但是如果代码中的函数、变量 ...
原文:病毒分析-宏病毒特征
在Word和其他微软Office系列办公软件中,宏分为两种。 内建宏 位于文档中,对该文档有效,如文档打开 AutoOpen 保存 打印 关闭等。 全局宏 位于Office模板中,为所有文档所共用,如打开Word程序 AutoExec 。 宏病毒的传播路线: 单机:单个Office文档 gt Office文档模板 gt 多个Office文档 网络:电子邮件居多 宏病毒的自我保护 禁止提示信息 On ...
2021-04-23 23:20 0 211 推荐指数:
相关推荐
脚本病毒分析扫描专题1-VBA代码阅读扫盲、宏病毒分析
。在分析带有宏病毒的样本前,我们需要对VBA有所了解。才能更顺畅地了解病毒发展中的手段和变化。 2、 ...
excel文档中了宏病毒--
excel宏病毒,阻止用户打开excel文件,而且会自动感染其他的excel文档。它的明显表现就是:每次打开excel文档的时候都会先自动打开一个book1文档,然后提示你打开的excel文档有宏,所以要解决excel宏病毒,首先要禁止excel宏病毒(XF.sic.gen)怎么生成 ...
关于宏病毒的原理及其防范技术
1、 宏病毒的基本概念 如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒,如果woro系统中的模板包含了宏病毒,我们称word系统感染了宏病毒。 2、 宏病毒来源 虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒.但当打开一个含有可能携带病毒的宏的文档时,它能 ...
Office宏病毒免杀(1)
使用github开源工具EvilClippy进行宏病毒混淆免杀:https://github.com/outflanknl/EvilClippy/releases 注意需要将这两个文件下载在同一个文件夹下,不要只下载EvilClippy.exe而忘记下载OpenMcdf.dll ...
宏病毒研究——实战研究篇
本文作者:i春秋作家——icq5f7a075d 宏病毒专辑:https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3. 宏病毒实例分析 3.1 实例1 接下来,我将以 ...
Excel K4宏病毒专杀
打开execl文档 发现二义性的名称:auto_open 打开execl文档 发现二义性的名称:auto_open 重装也不行---------------------又见这个问题,很不幸,你可能中了宏病毒。上次帮一个家伙解决这个问题,我还以为是他自己写的宏呢,结果搞得我所有excel文件都被感染 ...
病毒特征码
特征码选取的基本方法 MD5以及CRC32这样的算法 1、计算校验和 这种方法的特点是简单快速,也是我们之前的专杀工具所采用的方式。但是采用这种方法,一种特征码只能匹配一个病毒,即便病毒的变动很小,也需要重新提取特征码 ...