• 免杀对抗-宏免杀


    CS生成宏&上线

    生成宏

    1.cs生成宏,如下图操作

    2.点击复制宏代码,保存下来

    cs上线

    注:如下操作使用的是word,同样的操作也适用于Excel

    1.新建一个word文档,使用word打开。点击文件——

    2.更多——选项——

    3.自定义功能区——勾选 开发工具——点击确定

    4.点击开发工具——新建 宏——任意 宏名——宏的位置(之前新建的word文档)——创建

    5.跳转到如下,将cs生成的宏代码写入——点击保存——取消

    6.来到如下,可以选择如下两种保存方式——建议选择 Word 97-2003文档(*.doc) ,因为这种保存方式向下兼容

    7.点击使用word打开宏文件,打开后并不会立马上线。需要点击 启动内容

    8.点击 启动内容 ,cs成功上线

    9.选择另一种保存方式

    10.打开——启用内容,cs成功上线

    11.上传到目标系统,直接被火绒杀

    Office套件-本地宏引用-工具项目免杀

    介绍:EvilClippy

            用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏VBA宏,踩踏VBA代码(通过P代码)并混淆宏分析工具。 在 Linux、OSX 和 Windows 上运行。

    下载:https://github.com/outflanknl/EvilClippy

    1.执行如下命令,编译工具为exe(此编译方法只适用于安装Visual Studio的情况)

    编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs

    csc.exe路径:

    Visual Studio2019:C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\MSBuild\Current\Bin\Roslyn\csc.exe

    Visual Studio2015:C:\Program Files (x86)\MSBuild\14.0\Bin

    2.将之前生成的cs.doc宏文件复制到工具目录下,在创建一个1.vba文件

    1.vba文件内容:

    Sub Hello()

    Dim X

    X=MsgBox("Hello VBS")

    3.执行命令,在工具根目录生成经过踩踏操作的宏文件

    命令:EvilClippy.exe -s 1.vba cs1.doc

    4.打开经过踩踏的宏文件cs_EvilClippy.doc,cs成功上线

    5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台

    平台:https://www.virustotal.com

    原生态宏文件cs.doc免杀效果:

    踩踏的宏文件cs_EvilClippy.doc免杀效果:

    可以看出免杀效果大大提高。

    Office套件-远程宏引用

    在阿里云OSS上传一个带有上线代码的宏文档

    启动模板文档时会加载一个文件,将加载的路径更改为带有上线代码的宏文档链接

    经过测试发现,就算是阿里云这样的绿色网站也变成了不受信任的来源,无法运行宏

  • 相关阅读:
    SQLite数据库
    如何在微软Edge浏览器上一键观看高清视频?
    spring框架中的IOC实现
    人大金仓物理备份异机恢复
    改变设计价值观的人工智能机器人原理
    微信回调很慢,设置curl默认访问为IPv4
    美团二面:TCP 四次挥手,可以变成三次吗?
    6、【办公自动化】Python实现邮件通知
    C++ Builder XE 关于Date()和Time()时间的如何格式化字符串等问题
    【ARM 嵌入式 编译系列 11.3 -- GCC attribute packed noreturn constructor 介绍】
  • 原文地址:https://blog.csdn.net/m0_51345235/article/details/133646879