【宏病毒】Word宏病毒簡單分析
前言 最近對Office系列宏病毒比較感興趣,網上找了一個Word樣本練練手,宏病毒常用套路一般都是利用PowerShell從服務器上下載PE文件執行,或者數據流中內嵌PE文件借助RTF釋放執行。所以分析宏病毒一般都比較簡單,查看VBA代碼基本就能知道病毒執行的內容,但是如果代碼中的函數、變量 ...
原文:病毒分析-宏病毒特征
在Word和其他微軟Office系列辦公軟件中,宏分為兩種。 內建宏 位於文檔中,對該文檔有效,如文檔打開 AutoOpen 保存 打印 關閉等。 全局宏 位於Office模板中,為所有文檔所共用,如打開Word程序 AutoExec 。 宏病毒的傳播路線: 單機:單個Office文檔 gt Office文檔模板 gt 多個Office文檔 網絡:電子郵件居多 宏病毒的自我保護 禁止提示信息 On ...
2021-04-23 23:20 0 211 推薦指數:
相關推薦
腳本病毒分析掃描專題1-VBA代碼閱讀掃盲、宏病毒分析
。在分析帶有宏病毒的樣本前,我們需要對VBA有所了解。才能更順暢地了解病毒發展中的手段和變化。 2、 ...
excel文檔中了宏病毒--
excel宏病毒,阻止用戶打開excel文件,而且會自動感染其他的excel文檔。它的明顯表現就是:每次打開excel文檔的時候都會先自動打開一個book1文檔,然后提示你打開的excel文檔有宏,所以要解決excel宏病毒,首先要禁止excel宏病毒(XF.sic.gen)怎么生成 ...
關於宏病毒的原理及其防范技術
1、 宏病毒的基本概念 如果某個文檔中包含了宏病毒,我們稱此文檔感染了宏病毒,如果woro系統中的模板包含了宏病毒,我們稱word系統感染了宏病毒。 2、 宏病毒來源 雖然OFFICE97/Word97無法掃描軟盤、硬盤或網絡驅動器上的宏病毒.但當打開一個含有可能攜帶病毒的宏的文檔時,它能 ...
Office宏病毒免殺(1)
使用github開源工具EvilClippy進行宏病毒混淆免殺:https://github.com/outflanknl/EvilClippy/releases 注意需要將這兩個文件下載在同一個文件夾下,不要只下載EvilClippy.exe而忘記下載OpenMcdf.dll ...
宏病毒研究——實戰研究篇
本文作者:i春秋作家——icq5f7a075d 宏病毒專輯:https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3. 宏病毒實例分析 3.1 實例1 接下來,我將以 ...
Excel K4宏病毒專殺
打開execl文檔 發現二義性的名稱:auto_open 打開execl文檔 發現二義性的名稱:auto_open 重裝也不行---------------------又見這個問題,很不幸,你可能中了宏病毒。上次幫一個家伙解決這個問題,我還以為是他自己寫的宏呢,結果搞得我所有excel文件都被感染 ...
病毒特征碼
特征碼選取的基本方法 MD5以及CRC32這樣的算法 1、計算校驗和 這種方法的特點是簡單快速,也是我們之前的專殺工具所采用的方式。但是采用這種方法,一種特征碼只能匹配一個病毒,即便病毒的變動很小,也需要重新提取特征碼 ...