钓鱼第一篇------Office宏

日常的学习,日常的记录。

开启记录的第一章。

最近的HW越来越难打,感觉现在HW中钓鱼的占比,比较大。

现在CS和MSF用的比较多,我这里就用CS来进行实验了,如有理解错误可以下方评论。

一、Office宏

  如果将宏添加到模板中,则此恶意文档则具有传播性,当用户一旦打开带有宏的恶意文档,宏病毒就被会启动并且将目标模板污染,如果目标将自己电脑的文档传给其他用户,则可以将病毒传播给其他用户。

  传播路线:单个Office文档 => Office文档模板 => 多个Office文档

  具体操作如下

  用CS生成Office宏代码

钓鱼第一篇------Office宏

 

钓鱼第一篇------Office宏

 

 

   

  点击Copy Macro将其复制,然后将其放在放在word宏中,我这里没有创建模板,创建仅仅当前文档。

钓鱼第一篇------Office宏

 

   将之前复制的内容存放在这里

钓鱼第一篇------Office宏

 

 

   然后Ctrl+s将内容保存,出现如下提示则点击否,然后将内容存在宏可以打开的格式,docm或者dotm,我这里将内容存储为docm,这里要注意生成文件的时候要关闭杀软。

钓鱼第一篇------Office宏

 

 

 钓鱼第一篇------Office宏

 

 

  现在大部分电脑都会装火绒或者360,使用EvilClippy,对其进行一个简单的免杀。

  我这里使用ubunto打开需要先安装mono来执行exe文件,原理就是需要自己先写一个正常的vba文件来和一个恶意的文件来进行混淆,来躲避杀软检测。

先创建一个正常的文件1.vba,然后用记事本打开将下面文件加进去。

Sub Hello()
Dim X
X=MsgBox("Hello VBS")
Sub MyNZ()

Dim MyDate, MyDay

MyDate = Date

MyDay = Day(MyDate)

MsgBox MyDay

END SUB

将带有宏病毒的文档和正常的vba代码放在同一个目录下,执行命令生成一个新的免杀文件

钓鱼第一篇------Office宏

钓鱼第一篇------Office宏

 

钓鱼第一篇------Office宏

 

 

 可以正常过火绒,之前测得360也可以过大家可以自己测一下。

钓鱼第一篇------Office宏

钓鱼第一篇------Office宏

 

上一篇:CZT的原理及matlab应用


下一篇:数据湖加速器GooseFS,加速湖上数据分析性能