今天给大家介绍的是一款名叫EvilClippy的开源工具,EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。当前版本的EvilClippy支持在Linux、macOS和Windows平台上运行,实现了跨平台特性。
上一篇《【坑】如何心平气和地填坑之拿RSViewSE的报表说事》中,我们在RSViewSE软件的画面内嵌入了一个Spreadsheet控件表格,通过VBA脚本对它进行一系列控制实现了将PLC内直接读回来标签数显示在表格内,定时存储到指定的位置,从而达到每天或每小时或每分钟记录一次报表数据的目的。
邮件钓鱼通常出现在APT攻击里面,但是在日常生活中我们的邮箱也会经常出现一些钓鱼邮件,为了更好的了解原理,我在本地探索了一下宏上线钓鱼邮件,分享出来供师傅们交流。
这是 酒仙桥六号部队 的第 18 篇文章。全文共计3670个字,预计阅读时长10分钟。前言如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把".doc"文件和黑客手中的杀人利器联系起来。然而,事实正好相反。上世纪90年代,就有"宏病毒"出现,病毒制造者利用word的特性,在文档中内嵌破坏性的程序。不过,
上一讲说了Range对象,这一次我们从总体方面来说一下Excel VBA的对象模型。
直到 90 年代早期,使应用程序自动化还是充满挑战性的领域.对每个需要自动化的应用程序,人们不得不学习一种不同的自动化语言.例如:可以用EXCEL的宏语言来使EXCEL自动化,使用WORD BASIC使WORD自动化,等等.微软决定让它开发出来的应用程序共享一种通用的自动化语言——–Visual Basic For Application(VBA),可以认为 VBA 是非常流行的应用程序开发语言VASUAL BASIC 的子集.实际上VBA是”寄生于”VB应用程序的版本.VBA和VB的区别包括如下几个方面:
原文链接:https://mp.weixin.qq.com/s/OdCrUOsVAscqOjWaq2w8hQ
—个HTML Application (HTML应用)是一个使用HTML和一个Internet浏览器支持的脚本语言编写的Windows程序。该程序包生成一个HTML应用,该应用运行一个CobaltSt rikepayload。你可以选择可执行的选项来获取一个HTML应用,此HTML应用使得一个可执行文件落地在磁盘上并运行它。
Codecepticon是一款功能强大的代码混淆处理工具,该工具专为红队和紫队渗透测试安全活动而开发,在该工具的帮助下,广大研究人员可以轻松对C#、VBA5/VBA6(宏)和PowerShell源代码进行混淆处理。
Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。
Office 版本历经十几年的变迁,现已趋于成熟,但仍存在着新老版本交替使用的问题。Office 97-2003 Word 的文件后缀为 doc,新版本的 Office 文件后缀为 docx,包含宏的文档后缀为 docm。微软是不会允许将包含宏的文档命名为 docx,但是可以被命名为老版的 doc。例如一个 docm 文件,文件头的魔数是 504b0304(ZIP 文件的魔数),修改其后缀为 doc 后,文件头的魔数不变,且能够正常执行。而老版的 doc 文件头的魔数是d0cf11e(docfile 的十六进制表示 ^_^),所以我们可以通过文件后缀和魔数是否匹配来判断一个文档是不是恶意的。
Agent Tesla 最近一次的攻击部署在 RTF 文件里使用了多个 OLE 对象构建了复杂的感染链,虽然不是新技术手段,但在野利用仍然十分有效。
在红蓝对抗或者国家某活动中,钓鱼是红队比较常见的攻击手段。通常的钓鱼手段包括exe文件的投递,自解压文件的投递,office系文件的投递等等。这几种文件投递的方式都能直接向对方电脑投递木马文件,但是现在的防守客户普遍使用了强有力的查杀手段,特别是针对exe等文件的查杀,这对木马文件的免杀提出了新的挑战(当然,免杀大佬请当我这句话没说过)。Office作为目前最常见的办公软件套件使用,因为它的普遍使用性可以作为我们从外网到内网的一个突破口,但是目前我在GitHub找到现有的一些项目在面对国内使用的三大杀软显得应付有些吃力,所以才有了自己编写一个工具进行bypass的想法。
Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。
我手头上的selenium 是2021-07-04年SeleniumBasic 3.141.0.0的。我们可以认为“Selenium”它最大的贡献就是在于把原来java、c#、python才能玩的东西,VFP同样能搞,因为它支持的浏览器非常多:Chrome、Firefox、Microsoft Edge、Internet Explorer、Opera、Safari、QQ和360等浏览。我们可以理解在VFP上可以控制这些浏览器,去为了我们网页任务工作。比2016年进步了太多。稳定性和操控性都变好了。selenium是基于webdriver协议
在安装 SOLIDWORKS 2021 SP2 软件之后更新、修改或安装旧版本的 SOLIDWORKS 时会出现VBA7.1失败问题的情况
前面我们说到了文件的读取,读取的文件是我们手动创建的txt文本文档,VBA也是可以对文件进行写操作的。
网名:liucqa,OFFICE开发领域真大牛,比ExcelHome所有版主和所有出OFFICE开发类书籍的人都要牛的人,出品了它的大作,给大家推荐使用。
“海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。
我们使用Excel VBA绝大多数情况都是在处理Excel的数据,一般都是直接读取Excel,也就是使用Workbooks.Open,随着VBA使用的深入,我们要处理的数据可能不局限在Excel里,有时候也会需要去读取外部的数据。
学习使用VBA来处理Excel的问题,自然是为了简化工作。但是随着自己VBA使用的增多,代码分散在各个Excel文件中,非常的散乱。管理好自己的代码是提高代码复用率的关键,也能提高开发的效率。
文章背景:在工作中,有时遇到一份ppt,顺序正好是乱的。现在想要将最后一页放在开头,倒数第二页放在开头第二页...。如果一份ppt有多页幻灯片,手动操作特别费劲。在网上查阅资料后,发现可以通过宏命令来实现批量操作,下面介绍两种方式。
文章背景:使用Excel的Userform时,有时想要打开指定路径的ppt文件。下面介绍两种打开ppt文件的方式。
当你收集了 n 个人的 EXCEL 记录表,需要将它们汇成一个总表时你会怎么做呢? 如果不通过技术手段,要一个个打开再复制粘贴也太麻烦了吧! 此时就需要一个通过几秒钟的点击就能完成合并的工具。
前言 Proofpoint的安全研究员发现并分析了这个新型恶意软件并命名为NerbianRAT,此恶意软件使用了反分析和反逆向功能,该恶意软件是使用Golang编写的64位程序,主要传播方式为冒充世界卫生组织发送的COVID-19相关的安全措施邮件,通过邮件附件中有VBA宏的Word文档传播。 样本运行流程 样本IOCs 名称:ee1bbd856bf72a79221baa0f7e97aafb6051129905d62d74a37ae7754fccc3db.doc 大小:280469 字节
A:在《VBA小技巧04:使用VBA获取能够打开指定文件的EXE程序》中,我们介绍了一个自定义函数ExePath,可以获取能够打开指定文件的EXE程序的路径。这样,我们就可以使用EXE程序来打开该文件了。因此,下面的代码先使用ExePath函数获取PDF文件的可执行程序路径,然后使用它来打开指定的PDF文件。
载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后门,所以只有选对payload,再填写正确自己的IP,PORT就可以生成对应语言,对应平台的后门了!!!
今年参加了几次攻防演练对抗赛,其它队伍依靠社工结合文件钓鱼得了不少分,自己之前并没有相关知识的积累,因此在这个方面吃了一些亏。
Cisco Talos最近发现了知名黑客组织74(又名Tsar Team,Sofacy,APT28,Fancy Bear…)的一种新型恶意行动,具有讽刺意味的是,这次行动中的使用的诱饵文件是一份有关美国网络冲突会议的Word文档。美国网络冲突会议由美国军事科学院,军事网络研究所与北约的网络军事学院和网络防御中心合作而共同开展,所以从这个文档的性质出发,我们认为这次行动主要针对网络安全从业人员或者是感兴趣的人。与之前发起的行动不同,这次的文档不包含Office exploit,也不包含0day,只有一个恶意的
因插件是使用visualstudio的开发环境开发的,这种Excel插件有别于传统的使用VBA语言开发的Excel插件,需要对用户电脑有一些底层的运行环境的要求。咋看是有些麻烦,但实质是更加安全、友好,用户在环境搭建好的情况下,基本只需双击这样的动作就能打开使用,不需设置宏安全性、宏警告等VBA开发的插件所面对的问题,特别适合企业级别的开发使用。
今天在群里找到几位在公司电脑受强监管,不能轻易安装软件的群友来作测试,尝试使用一个xlsm文件的方式,使用VBA的方式实现将嵌入在xlsm文件里的安装包(已经打包成一个zip文件),释放出来后,再进行解压至指定位置的方式完成安装操作,突破了双击exe文件安装失败的情形。
笔者寄语:批量读取目前看到有以下几种方法:xlsx包、RODBC包、批量转化成csv后读入。本章来自博客:http://www.cnblogs.com/weibaar/p/4506144.html
我们在使用电脑的时候,如果打开的窗口太多,任务栏会比较混乱,一般我们就会关闭一些不需要的窗口,比如文件夹等。
根据安全专家的最新发现,Microsoft Excel的旧用户正成为恶意软件的攻击目标。这种恶意软件攻击活动使用了一种新的恶意软件混淆技术来禁用Microsoft Office的安全防御机制,然后传播和感染Zloader木马病毒。
要解压缩ZIP文件,所以肯定需要读写文件的功能,为了方便,把VBA中对文件的读写功能进行一个简单的封装,方便使用。
前文提过,在RSViewSE里面做报表,有一种高级玩法,完全不依赖RSViewSE软件,而是通过RSLinx软件编写程序将PLC内的数据直接读取回来,按照一定的时间规律记录到数据库内,这个过程是不需要显示出来的,所以这个程序只需要默默的在后台执行就可以了。当然这个程序可以使用VB、C#、C++等高级语言编写。
如果你只用VBA处理Excel的数据的话,一般都不会碰上编码的问题,但是一旦涉及到读取外部数据,就很有可能会碰上编码问题了。
VBA的调试输出只有简单的Debug.Print,在接触过C语言之后,很喜欢printf那种形式的打印输出,无奈一直觉得C语言太难了,没能深入去学习。
在计算机领域中,Windows服务是一种常见的系统服务,用于提供特定的功能或服务。然而,对于许多用户和开发者来说,管理这些服务可能是一项繁琐的任务。幸运的是,我们可以使用一些工具来简化这个过程。今天,我们将介绍NSSM(Non-Sucking Service Manager)封装Windows服务工具。NSSM是一个免费、开源的Windows服务封装工具,它可以帮助我们轻松地创建、配置和管理Windows服务。
使用Excel的目的是为了处理大量的数据,而学习VBA是为了更方便的处理大量的数据,用的多了就会发现,在使用VBA处理Excel中的数据的时候,总是花很多的精力在处理那些不规则的数据上。
大家好,后期开始部分介绍Access数据内容,首先简单介绍下学习Access数据库的基本框架,主要包括六个常用的对象:表、查询、窗体、报表、宏、VBA模块。
本文介绍了如何利用宏在Excel中批量处理员工信息,包括自动填充、批量修改、数据导出等。通过使用宏,可以大幅提高数据处理效率,节省时间和精力。同时,本文还介绍了如何在Excel中创建带有宏的Excel文件,以及如何管理和运行宏。
大家好,本节简单介绍下Access数据库软件的界面,已经有一定基础的可以跳过这部分内容。
https://www.shutingrz.com/post/explore-dotnet-serialize-g2js/
前面使用Open 进行的文件操作,使用起来不是很方便,但是FileSystemObject里的TextStream使用起来就比较方便了,知道了类之后,就可以使用类对Open的文件操作进行包装。
近期 Fortinet 研究专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种,而变种传播是通过特制的 Microsoft Word文件进行的。 Agent Tesla 是一种用来收
metasploit-framework旗下的msfpayload(荷载生成器),msfencoder(编码器)
我们前面提到过,并没有直接创建文件的功能,但是在写入1个不存在的文件的时候,程序是可以自动创建文件的,所以只需要把写入文件的功能中的写入操作省略掉,就仅仅是创建1个空文件了。
领取专属 10元无门槛券
手把手带您无忧上云