CS 生成宏 & 上线
生成宏
1.cs生成宏,如下图操作
![](https://file.jishuzhan.net/article/1710598933136281601/25df514f3584ebe0d9574d6fe27eedec.webp)
2.点击复制宏代码,保存下来
![](https://file.jishuzhan.net/article/1710598933136281601/5073e8925069e45f05aea9233452d09b.webp)
cs 上线
注:如下操作使用的是 word ,同样的操作也适用于 Excel
1.新建一个word文档,使用word打开。点击文件------
![](https://file.jishuzhan.net/article/1710598933136281601/977f3fb03dcb96656309359964d13c80.webp)
2.更多------选项------
![](https://file.jishuzhan.net/article/1710598933136281601/3a57dbf55e7c5d12418ece965254c8eb.webp)
3.自定义功能区------勾选 开发工具------点击确定
![](https://file.jishuzhan.net/article/1710598933136281601/4f789e348ca0a896ca02e12f04f1d7ce.webp)
4.点击开发工具------新建 宏------任意 宏名------宏的位置(之前新建的word文档)------创建
![](https://file.jishuzhan.net/article/1710598933136281601/a52bf57b2bf6d3d43f08295894c9236e.webp)
5.跳转到如下,将cs生成的宏代码写入------点击保存------取消
![](https://file.jishuzhan.net/article/1710598933136281601/e654b39eaec43939f731b2b834003c08.webp)
6.来到如下,可以选择如下两种保存方式------建议选择 Word 97-2003文档(*.doc) ,因为这种保存方式向下兼容
![](https://file.jishuzhan.net/article/1710598933136281601/5b7c0dda8f6b39619a96ac9fd6fcca43.webp)
7.点击使用word打开宏文件,打开后并不会立马上线。需要点击 启动内容
![](https://file.jishuzhan.net/article/1710598933136281601/247ec47707ba6e9c0947dc95c5142255.webp)
8.点击 启动内容 ,cs成功上线
![](https://file.jishuzhan.net/article/1710598933136281601/00c60325cd0e27239f5853bb8860fe4d.webp)
9.选择另一种保存方式
![](https://file.jishuzhan.net/article/1710598933136281601/bdac25febe002b3621e05b40bcc32b49.webp)
10.打开------启用内容,cs成功上线
![](https://file.jishuzhan.net/article/1710598933136281601/260efe88e2354c7bf98404c43766f47a.webp)
11.上传到目标系统,直接被火绒杀
![](https://file.jishuzhan.net/article/1710598933136281601/187cedac0d9b2769f177e8719766bbbe.webp)
Office套件-本地宏引用-工具项目免杀
**介绍:**EvilClippy
用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏VBA宏,踩踏VBA代码(通过P代码)并混淆宏分析工具。 在 Linux、OSX 和 Windows 上运行。
下载:https://github.com/outflanknl/EvilClippy
1.执行如下命令,编译工具为exe(此编译方法只适用于安装Visual Studio的情况)
编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs
csc.exe路径:
Visual Studio2019:C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\MSBuild\Current\Bin\Roslyn\csc.exe
Visual Studio2015:C:\Program Files (x86)\MSBuild\14.0\Bin
![](https://file.jishuzhan.net/article/1710598933136281601/ec3899a4c92f541baafb94072c362cfb.webp)
2.将之前生成的cs.doc宏文件复制到工具目录下,在创建一个1.vba文件
1.vba文件内容:
Sub Hello()
Dim X
X=MsgBox("Hello VBS")
3.执行命令,在工具根目录生成经过踩踏操作的宏文件
命令:EvilClippy.exe -s 1.vba cs1.doc
![](https://file.jishuzhan.net/article/1710598933136281601/ea6cc7f185561891673437613f892989.webp)
4.打开经过踩踏的宏文件cs_EvilClippy.doc,cs成功上线
![](https://file.jishuzhan.net/article/1710598933136281601/3ad0f07f172bd896bb09761f876fdd64.webp)
5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台
原生态宏文件cs.doc免杀效果:
![](https://file.jishuzhan.net/article/1710598933136281601/1c7f5fcb8d672ea52bbe0b74f0a8e2ae.webp)
踩踏的宏文件cs_EvilClippy.doc免杀效果:
![](https://file.jishuzhan.net/article/1710598933136281601/c744071ad25b2bd6cb1d64f9c6a09cec.webp)
可以看出免杀效果大大提高。
Office套件-远程宏引用
在阿里云OSS上传一个带有上线代码的宏文档
启动模板文档时会加载一个文件,将加载的路径更改为带有上线代码的宏文档链接
![](https://file.jishuzhan.net/article/1710598933136281601/6c117c8a68fbf828721021b539a5ecee.webp)
经过测试发现,就算是阿里云这样的绿色网站也变成了不受信任的来源,无法运行宏
![](https://file.jishuzhan.net/article/1710598933136281601/a171b7ff211ca68c5b8a9e976e92c28b.webp)