标签:Word VBA 有多种方法可以使我们在创建、打开或关闭Word文档时自动运行宏。...这样,每当创建基于该模板的文档时,将运行Document_New()过程;每当打开基于该模板的文档时,会运行Document_Open()过程;每当关闭基于该模板的文档时,会运行Document_Close...然而,如果存储在Normal.dotm中,则它们将全局运行,换句话说,当创建、打开或关闭任何文档时,它们都将被触发。...不过,存储在加载项(存储在Word启动目录中的.dotm文件)中的AutoNew、AutoOpen和AutoClose宏将无法全局运行。...事实上,在加载项中存储AutoNew、AutoOpen或AutoClose宏是没有意义的,因为不会(或不应该)将文档基于加载项。
在使用python3 docx 处理word文档时遇到报错: ValueError: All strings must be XML compatible: Unicode or ASCII, no NULL...bytes or control characters 原因是需要输出的字符中含有ASCII编码:ETX 找到并替换掉后,python代码正常运行,供类似问题解决参考
我使用的是 Office 2019 的 Word 打开后缀名为 doc 的文件。 ? 错误信息: 有多种原因可导致显示此错误消息。 文档可能已损坏。...如果可以恢复文件,则会在文档工作区中打开并显示该文件。 可在“打开”对话框中使用“恢复文本”转换器;该转换器显示在“文件类型”下拉列表中。它在下拉列表中显示为:“从任意文件中恢复文本(*.*)”。...其他用户可能已打开该文件,或与该文件链接的另一个应用程序已在该文件上设置独占锁,因而阻止 Word 打开该文件。如果某个自定义应用程序已打开了该文件,那么它可能使用了不正确的方法来打开文件。...大部分转换器都会默认安装,所用 Office 版本的部分可选转换器可通过“控制面板”中“添加或删除程序”工具进行安装(需要执行高级自定义安装,在功能树中找到“Office 共享功能” \ “转换器和过滤器...右键文档打开属性,将解除锁定复选框打上勾就可以了,再应用确定。 ? 如果还不行,就打开设置里的信任中心 ? 点击还原默认设置即可: ?
宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行...OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板(Normal.dot),里面包含了基本的宏。只要一启动Word,就会自动运行Normal.dot文件。...在默认的情况下,Word将宏存贮在 Normal模板中,以便所有的Word文档均能使用,这一特点几乎为所有的宏病毒所利用。...宏实际上是一系列Word 命令的组合,用户可以在Visual Basic 编辑器中打开宏并进行编辑和调试,删除录制过程中录进来的一些不必要的步骤,或添加无法在Word 中录制的指令。...全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。但是本身的全局宏名字是随机生成的,所以要先创建一个全局宏,定义一下名字。
前言如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把".doc"文件和黑客手中的杀人利器联系起来。然而,事实正好相反。...前言 如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把".doc"文件和黑客手中的杀人利器联系起来。 然而,事实正好相反。...宏病毒中常用的自动执行方法有两种:一种是用户执行某种操作时自动执行的宏,如Subbotton(),当用户单击文档中的按钮控件时,宏自动执行;另一种则是Auto自动执行,如SubAutoOpen()和Sub...越过自动宏(如果怀疑文档中存在宏病毒,可以在Office打开文档的时候,始终按住Shift键,将禁止存在的一起自动宏。)...生成vba代码: word操作 点击上方标签视图标签,在该标签中点击宏按钮,弹出的对话框中输入宏名字,然后单击创建按钮。
0x01 宏概述 宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时...,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。...一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。...从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。...编辑器,点击视图,然后点击宏,自定义输入一个宏名,点击创建 将原本自带的代码清空,然后复制CobaltStrike生成的代码,保存退出 将该文档伪装后可通过钓鱼等手段发送给受害者,只要受害者是使用word
当用户打开文档并启用宏功能时,Word文档就会下载并打开另一个受密码保护的Microsoft Excel文档。...消息中会提醒用户:“此文档是在以前版本的Microsoft Office Word中创建的。若要查看或编辑此文档,请单击顶部栏上的“启用编辑”按钮,然后单击“启用内容”。”...当用户停止操作之后,这个宏将会被保存下来,并且会被分配给一个按钮,当用户点击这个按钮时,它会再次运行完全相同的过程。...禁用Excel宏警告 恶意软件的开发人员通过在Word文档中嵌入指令,从Excel单元格中提取内容,实现了警告绕过。...毫无疑问,恶意文档一直是大多数恶意软件家族的初始感染入口,这些攻击也在不断演变和升级其感染技术以及混淆技术。因此,我们建议广大用户,仅当接收到的文档来自可信来源时才启用宏功能,这样才是安全的。
可恨的是,在点击了所述的按钮之后,我仍然没有能够看到传真电文的实质内容。好吧!反正我也不想看。 在我们激活了宏的几秒钟之后,Word突然退出,给人的印象是“Word似乎崩溃了”。...sdfsdf() sdfsdf()似乎负责提取恶意代码,因为在与文档中的.pif图标交互时,它会在%TEMP%文件夹中创建一个快捷方式文件,即使你没有单击启用宏。在关闭文档时,快捷方式文件会消失。...当你看到Print#1时,宏实际上正在将字符串写入1.hta,而不是将其显示出来。...概要 l 嵌入在恶意文档中的宏被启用; l 6.exe和6.pif在%TEMP%文件夹中被创建; l 一个干净的文档被创建,并替换恶意文档; l 恶意文档退出,但宏将一直运行到返回为止; l 恶意软件会检查...l 恶意word文档完全退出,只留下6.exe 或 6.pif运行。
大家可能接触到的宏并不多,但如果经常使用Word文档时,可能会遇到宏,比如国家自然科学基金申请,或者作者之前分享的宏技巧。...当我们打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。....Show End With End Sub 当我们打开Word时,会提示我们安全警告,选择“启用宏”。 此时会提示一个打开Word文档的对话框,表示AutoOpen宏自启动。...因为宏包括两种类型——局部宏和全局宏。而退出Word程序和进入Word程序不是当前文档能定义的。其他三个宏无法起到作用,我们需要将它们复制到Normal模块中才能运行。...3.宏病毒感染 在Word和其他微软Office系列办公软件中,宏分为两种。
,利用宏语言的功能将自己寄生到其他数据文档 一旦打开带有宏病毒的文档,宏就会被执行,宏病毒就会被激活,转移到计算机上,驻留在Normal模板上。...在Word和其他微软Office系列办公软件中,宏分为两种 内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等 全局宏:位于office模板中,为所有文档所共用...新建一个word文档生成一个宏 ? 找到project里面的Word对象,将代码粘贴 ? ctrl+s保存,这里可以保存成.dotm或.docm都可以,这两个文件格式都是启用宏的Word格式 ?...3、ExeCodes: 当 P-Code 执行一次之后,其会被一种标记化的形式存储在 SRP 流中,之后再次运行时会提高 VBA 的执行速度,可以将其删除,并不影响宏的执行。...目前杀软查杀 VBA 基本上都是静态查杀,所以静态免杀至关重要,从源头上讲 Word 是一个 zip 文件,解压之后的 vbaProject.bin 包含着要执行的宏信息,也是杀软的重点关注对象。
Office 97-2003 Word 的文件后缀为 doc,新版本的 Office 文件后缀为 docx,包含宏的文档后缀为 docm。...下面我就以威胁分析员的角度来介绍几种技术 VBA stomping VBA 在 Office 文档中可以以下面三种形式存在 1、源代码: 宏模块的原始源代码被压缩,并存储在模块流的末尾。...3、ExeCodes: 当 P-Code 执行一次之后,其会被一种标记化的形式存储在 __SRP__ 流中,之后再次运行时会提高 VBA 的执行速度,可以将其删除,并不影响宏的执行。...当启动 word 时,会启动 excel 并弹出 excel 旧版宏警告,点击禁用宏后还会启动第二个 excel,一共启动五次,用户体验极差,当 excel 处理完成之后才会弹出 Word 文档 ?...在 vmware 虚拟机中运行结果 ?
Word宏 新建一个word文件,进入宏选项(如果没有请自行在开发者工具里开启 然后随便输AutoOpen(文件打开时自动执行宏),创建,注意宏的位置要指定为当前文档 然后进入宏编辑框 输入以下命令...Sub AutoOpen() Shell ("calc") //只需要写这个就行了 End Sub AutoExec:启动 Word 或加载全局模板时 AutoNew:每次新建文档时 AutoOpen...:每次打开已有文档时 AutoClose:每次关闭文档时 AutoExit:退出 Word 或卸载全局模板时 保存为docm(启用宏的word文档) 打开文件,就蹦出计算器了。...(前提是在信任中心设置开启所有宏) 当然,一般情况下打开此类文件会显示 启用内容后就会弹计算器了 Word DDE 在word文件里,输入 ctrl+F9,进入到域代码编辑。...然后在带模板的文档的压缩包里面修改一些内容,使其指向的模板修改为我们自己创建的模板文件,这之间的过程可以由smb协议完成,故过查杀几率较高。 我们在启用宏的模板文件(doc3.dotm)里写入宏。
在感染NORMAL.DOT之前在Microsoft Word下打开受感染的文档时,该病毒将获得AutoOpen宏的控制权,并感染选定的全局默认模板通常为NORMAL.DOT 之后使用File | SaveAS...比如说将样式和格式应用于文本,或者与数据源进行通信,甚至单击即可创建全新的文档 0x01 如何工作 宏病毒的工作原理是假装以看似正常的方式执行操作,有些文档嵌入文档中并在打开文档时自动运行。...当打开受感染的文档时,屏幕上会出现一个带有文本“ 1”的消息框 Word.Macro.Nuclear 核中的所有宏都受到保护,无法对其进行查看或编辑。...等等 Word.Macro.Hot 此病毒在会WINWORD6.INI配置文件中创建一个包含“hot date”的条目。...)就有可能感染宏病毒 感染文件通常以以下方式传播: 通过网络共享文件 打开带病毒的电子邮件附件 共享USB驱动器或其他外部/共享媒体上的文件 打开并下载带病毒的Internet文件等等等 为了防止感染宏病毒
在感染NORMAL.DOT之前在Microsoft Word下打开受感染的文档时,该病毒将获得AutoOpen宏的控制权,并感染选定的全局默认模板通常为NORMAL.DOT 之后使用File | SaveAS...比如说将样式和格式应用于文本,或者与数据源进行通信,甚至单击即可创建全新的文档 0x01 如何工作 宏病毒的工作原理是假装以看似正常的方式执行操作,有些文档嵌入文档中并在打开文档时自动运行。...通常情况下宏病毒会通过秘密替换合法命令的方式对计算机进行破坏,当执行在计算机上的操作时,病毒将接管并告诉计算机执行完全不同的操作 宏病毒利用msf拿shell,利用msf生成宏,将生成的payload...当打开受感染的文档时,屏幕上会出现一个带有文本“ 1”的消息框 Word.Macro.Nuclear 核中的所有宏都受到保护,无法对其进行查看或编辑。...等等 Word.Macro.Hot 此病毒在会WINWORD6.INI配置文件中创建一个包含“hot date”的条目。
宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。...而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。...CobaltStrike 生成宏 打开 Word 文档,点击“Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定”。...在 Linux,OSX 和 Windows 上运行。...ShellCode 可以自己在 VBA 里解码或者比如每个元素自增 1,运行的时候-1,达到免 杀 ……
宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。...而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。...CobaltStrike 生成宏 ? 打开 Word 文档,点击“Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定”。 ?...在 Linux,OSX 和 Windows 上运行。...这里需要选择否,然后保存为启用宏的 word 文档 ?
Dispatch app = Dispatch( Word.Application ) # 新建word文档 doc = app.Documents.Add() 按F5运行,发现什么效果都没有, 这是因为...3、如何输入 我们在Word中输入文字时,一般会先使用鼠标点击需要输入文字的位置,这个过程是获得了光标焦点。...如何获得 s = app.Selection 在Word中,按下Alt+F11打开宏编辑器 ? 然后按下F2打开对象浏览器 ?...,在文档中难以直接找到,需要使用如下方法。...1、把想实现的功能,使用word的录制宏,在宏编辑器里查看VBA代码,从而了解大概使用什么方法。
0x02 建立宏攻击 在 Cobalt Strike 客户端上,选择Packages --> MS Office Macro,指定一个监听器,点击Generate,之后根据提示的步骤生成一个 Word...大体的步骤如下: 1、打开 Microsoft Word 或者 Excel 2、来到视图 --> 宏 3、任意填写一个宏的名称 4、宏的位置选择为当前文档 5、点击创建 ?...9、关闭编辑器 10、将文档保存为启用宏的文档,这里可以选择保存为启用宏的 Word 文档或者Word 97-2003 文档 ?...接下来使用钓鱼邮件等方式上传到靶机,当靶机运行该文档后启用宏内容即可上线。 ? ? 这里不得不吐槽一句,Microsoft Office 的东西安装是真的麻烦。...将自己的笔记公开发出来的目的有二:一是便于自己遗忘时随时查找,这也是17年我建立这个公众号的主要目的;二是在笔记中我会记录一些坑的解决方法,如果你碰到和我一样的问题,或许我这小菜鸟写的笔记就能帮助到你。
今天学习一下怎么解决word2010关闭文档时提示:“您正在试图运行的函数包含有宏或需要宏支持的内容”怎么办? ?...然后在文件列表里面找到word程序,也就是“WINWORD.EXE”,选中文件,单击鼠标右键,在右键菜单选择“以管理员身份运行”,这里是重点,必须以管理员身份运行,这也是为什么我会要大家在office安装目录来打开...word程序,而不是随便打开一个文档的原因,因为word文档是无法以管理员身份运行的。...接着,点击左上角“文件”按钮,单击“选项”,在打开的word选项界面左侧选择“信任中心”,再点击右边的“信任中心设置”,接着在弹出的窗口里面选择“宏设置”,选中“禁用所有宏,并且不通知”,点“确定”关闭窗口...我们回到word选项界面,这时我们再点击“加载项”,点击在底部“管理:COM加载项”右边的“转到”按钮。 ? 在弹出的窗口将几个加载项前面的勾去掉,确定保存。
内容的大体意思是提示受害者这个文档要在pc上使用MS打开,并且要允许宏运行。...二、攻击流程 我们在执行完word文档后,发现系统出现了一些可疑的网络行为,所以在进行详细分析之前,我们先总体上对钓鱼邮件的攻击流程进行跟踪,从宏观上掌握此次事件的整体流程,随后再对具体的步骤进行详细的分析...三、word宏分析 如果允许宏运行,很遗憾,受害者的计算机很有可能会受到后续的一系列攻击。 那么宏到底做了什么?就让我们一起来研究一下。我们先将word文档密码去掉,另存为一个新的文档。 ?...在word中启用文档宏,点击确定时,按住SHIFT,阻止宏自动执行。再次打开VB编辑器,现在文档中的VB工程出现了,打开时会发现工程被加了密码。 ? ?...,请尝试在其他机器上打开” 5、关闭word文档 四、background行为分析 word宏的目的是下载一个PE文件,那么我们接下来需要对该PE文件进行分析。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
