日常的学习,日常的记录。
开启记录的第一章。
最近的HW越来越难打,感觉现在HW中钓鱼的占比,比较大。
现在CS和MSF用的比较多,我这里就用CS来进行实验了,如有理解错误可以下方评论。
一、Office宏
如果将宏添加到模板中,则此恶意文档则具有传播性,当用户一旦打开带有宏的恶意文档,宏病毒就被会启动并且将目标模板污染,如果目标将自己电脑的文档传给其他用户,则可以将病毒传播给其他用户。
传播路线:单个Office文档 => Office文档模板 => 多个Office文档
具体操作如下
用CS生成Office宏代码
点击Copy Macro将其复制,然后将其放在放在word宏中,我这里没有创建模板,创建仅仅当前文档。
将之前复制的内容存放在这里
然后Ctrl+s将内容保存,出现如下提示则点击否,然后将内容存在宏可以打开的格式,docm或者dotm,我这里将内容存储为docm,这里要注意生成文件的时候要关闭杀软。
现在大部分电脑都会装火绒或者360,使用EvilClippy,对其进行一个简单的免杀。
我这里使用ubunto打开需要先安装mono来执行exe文件,原理就是需要自己先写一个正常的vba文件来和一个恶意的文件来进行混淆,来躲避杀软检测。
先创建一个正常的文件1.vba,然后用记事本打开将下面文件加进去。
Sub Hello() Dim X X=MsgBox("Hello VBS") Sub MyNZ() Dim MyDate, MyDay MyDate = Date MyDay = Day(MyDate) MsgBox MyDay END SUB
将带有宏病毒的文档和正常的vba代码放在同一个目录下,执行命令生成一个新的免杀文件。
可以正常过火绒,之前测得360也可以过大家可以自己测一下。