前言 最近對Office系列宏病毒比較感興趣，網上找了一個Word樣本練練手，宏病毒常用套路一般都是利用PowerShell從服務器上下載PE文件執行，或者數據流中內嵌PE文件借助RTF釋放執行。所以分析宏病毒一般都比較簡單，查看VBA代碼基本就能知道病毒執行的內容，但是如果代碼中的函數、變量 ...

在Word和其他微軟Office系列辦公軟件中，宏分為兩種。 內建宏 位於文檔中，對該文檔有效，如文檔打開（AutoOpen）、保存、打印、關閉等。 全局宏 位於Office模板中，為所有文檔所共用，如打開Word程序（AutoExec）。 宏病毒的傳播路線： 單機：單個Office ...

excel宏病毒，阻止用戶打開excel文件，而且會自動感染其他的excel文檔。它的明顯表現就是：每次打開excel文檔的時候都會先自動打開一個book1文檔，然后提示你打開的excel文檔有宏，所以要解決excel宏病毒，首先要禁止excel宏病毒（XF.sic.gen)怎么生成 ...

1、 宏病毒的基本概念 如果某個文檔中包含了宏病毒，我們稱此文檔感染了宏病毒，如果woro系統中的模板包含了宏病毒，我們稱word系統感染了宏病毒。 2、 宏病毒來源 雖然OFFICE97/Word97無法掃描軟盤、硬盤或網絡驅動器上的宏病毒.但當打開一個含有可能攜帶病毒的宏的文檔時,它能 ...

使用github開源工具EvilClippy進行宏病毒混淆免殺：https://github.com/outflanknl/EvilClippy/releases 注意需要將這兩個文件下載在同一個文件夾下，不要只下載EvilClippy.exe而忘記下載OpenMcdf.dll ...

...

Fiddler實戰深入研究(二) 閱讀目錄 Fiddler不能捕獲chrome的session的設置 理解數據包統計 請求重定向(AutoResponder) Composer選項卡 Filters選項卡斷點調式 Fiddler 中的Stave插件 ...

打開execl文檔 發現二義性的名稱：auto_open 打開execl文檔 發現二義性的名稱：auto_open 重裝也不行---------------------又見這個問題，很不幸，你可能中了宏病毒。上次幫一個家伙解決這個問題，我還以為是他自己寫的宏呢，結果搞得我所有excel文件都被感染 ...