121-宏免杀

CS 生成宏 & 上线

生成宏

1.cs生成宏,如下图操作

2.点击复制宏代码,保存下来

cs 上线

注:如下操作使用的是 word ,同样的操作也适用于 Excel

1.新建一个word文档,使用word打开。点击文件------

2.更多------选项------

3.自定义功能区------勾选 开发工具------点击确定

4.点击开发工具------新建 宏------任意 宏名------宏的位置(之前新建的word文档)------创建

5.跳转到如下,将cs生成的宏代码写入------点击保存------取消

6.来到如下,可以选择如下两种保存方式------建议选择 Word 97-2003文档(*.doc) ,因为这种保存方式向下兼容

7.点击使用word打开宏文件,打开后并不会立马上线。需要点击 启动内容

8.点击 启动内容 ,cs成功上线

9.选择另一种保存方式

10.打开------启用内容,cs成功上线

11.上传到目标系统,直接被火绒杀

Office套件-本地宏引用-工具项目免杀

**介绍:**EvilClippy

用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏VBA宏,踩踏VBA代码(通过P代码)并混淆宏分析工具。 在 Linux、OSX 和 Windows 上运行。

下载:https://github.com/outflanknl/EvilClippy

1.执行如下命令,编译工具为exe(此编译方法只适用于安装Visual Studio的情况)

编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs

csc.exe路径:

Visual Studio2019:C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\MSBuild\Current\Bin\Roslyn\csc.exe

Visual Studio2015:C:\Program Files (x86)\MSBuild\14.0\Bin

2.将之前生成的cs.doc宏文件复制到工具目录下,在创建一个1.vba文件

1.vba文件内容:

Sub Hello()

Dim X

X=MsgBox("Hello VBS")

3.执行命令,在工具根目录生成经过踩踏操作的宏文件

命令:EvilClippy.exe -s 1.vba cs1.doc

4.打开经过踩踏的宏文件cs_EvilClippy.doc,cs成功上线

5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台

平台:https://www.virustotal.com

原生态宏文件cs.doc免杀效果:

踩踏的宏文件cs_EvilClippy.doc免杀效果:

可以看出免杀效果大大提高。

Office套件-远程宏引用

在阿里云OSS上传一个带有上线代码的宏文档

启动模板文档时会加载一个文件,将加载的路径更改为带有上线代码的宏文档链接

经过测试发现,就算是阿里云这样的绿色网站也变成了不受信任的来源,无法运行宏

相关推荐
深盾科技_Virbox几秒前
软件授权工具静默安装实践
java·运维·数据库·安全·软件需求
এ慕ོ冬℘゜9 分钟前
前端核心知识体系进阶:从安全机制、网络协议到原生 JS 实战全解析
前端·网络协议·安全
延凡科技29 分钟前
延凡科技综合监控预警处置平台—— 一体化视频AI安防闭环系统设计与功能实现[特殊字符]️
数据库·人工智能·科技·安全·能源
Amy1870211182342 分钟前
筑牢算力底座的安全防线:直流绝缘监测如何为固态变压器保驾护航
安全
HackTwoHub1 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Kyrie6781 小时前
为什么我们不能等待更好的后量子签名算法
安全
长风2302 小时前
Day 16:大屏呈现——管理层视角 Dashboard 设计
人工智能·安全
Eastmount2 小时前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
头茬韭菜2 小时前
4.1-4.2 工具注册 — Fail-Closed 类型安全设计与四层工具架构
java·安全·架构
白帽小阳2 小时前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动