下面我就以威胁分析员的角度来介绍几种技术 VBA stomping VBA 在 Office 文档中可以以下面三种形式存在 1、源代码: 宏模块的原始源代码被压缩,并存储在模块流的末尾。...)来探究分析此类样本的方法: 首先创建一个带宏的文档 ?...准备一个伪造的 VBA 文件 fakecode_word_vba.txt ?...3、将所有文件再次压缩回一个 xlsm 文件 问题在于只有 excel 能弹出这种宏警告框,如何让 Word 也弹出类似的警告框呢?...,从源头上讲 Word 是一个 zip 文件,解压之后的 vbaProject.bin 包含着要执行的宏信息,也是杀软的重点关注对象,可以修改该文件名用于规避检测,步骤分以下三步 1、将“vbaProject.bin
使用实现设置好的监听器 ? 复制宏代码 ? 新建一个word文档生成一个宏 ? 找到project里面的Word对象,将代码粘贴 ?...ctrl+s保存,这里可以保存成.dotm或.docm都可以,这两个文件格式都是启用宏的Word格式 ? 我这里生成一个.dotm模板文件 ?...0x02.2 远程加载 在word里新建一个模板 ? ? 将模板另存为一个新的docx ? 把docx后缀名改为zip后缀 ? 对zip进行解压得到以下几个文件 ?...关于EvilClippy的介绍如下: EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度...很多诱饵文档喜欢在 VBA 中启动脚本程序执行 ps 或者从网络上下载一段 shellcode 或恶意程序等等,这样非常容易被杀软的行为拦截拦住,同时沙箱可以根据进程链和流量判定该 word 文档是恶意的
创建恶意电子邮件的 Outlook VBA 脚本 基于此恶意 VBA 代码的“发送至联系人列表中的所有人”行为,我们认为该模块可能导致一些组织认为他们已成为 Gamaredon 的目标,而他们只是附带损害...值得注意的是,有两个文本文件,一个用于 Word,一个用于 Excel,包含要插入目标文档的恶意宏的 VBA 源代码,以及负责查找和破坏现有文档的 .NET 程序集。...它将生成的可执行文件放在现有目录中,并创建一个计划任务,该任务将每 10 分钟启动一次。从图 6 中可以看出,解码后的源代码中仍然有注释,说明 Gamaredon 的运算符明显草率。...为了知道文档是否是新的,该模块在一个文本文件中为每个上传到服务器的文件保留一个 MD5 哈希值。这些 MD5 哈希不是基于文件内容,而是基于由文件名、文件大小和最后修改时间组成的字符串。...C# 后门线程创建例程 批处理文件/VBScript 此版本包含多个脚本,以批处理文件形式和 VBScript 编写。但是,最终目标是相同的:扫描系统以查找敏感文档。
1.3 HTA HTA是HTML Application的缩写,直接将HTML保存成HTA的格式,是一个独立的应用软件,本身就是html应用程序,双击就能运行,却比普通网页权限大得多,它具有桌面程序的所有权限...文件,在两个文件夹内部创建各创建一个index.html文件。...编写主体内容后,点击 “开发工具 — Visual Basic”,双击 “ThisDocument” ,将原有内容全部清空,然后将宏payload全部粘贴进去,保存并关闭该 VBA 编辑器 。...EvilClippy.exe -gg macrofile.doc Stomp VBA(滥用P代码)VT 查杀 12/60 效果很好,过火绒 将来自文本文件fakecode.vba的虚假VBA代码放在所有模块中...请注意,VBA项目版本必须与主机程序匹配才能执行P代码 EvilClippy.exe -s 1.vba macrofile.doc 参数说明:-s 参数是通过假的 vba 代码插入到模块中,用以混淆杀毒程序
最近,我分析到一个行为异常的恶意软件样本。由于很难发现该恶意软件的真实行为,所以我花了很多时间去调试分析。然而在分析过程中,又有多种因素会导致运行崩溃和异常。...如果这看起来不太可疑,请看其代码视图: ? ? 这是一个经典的教科书式的WORD恶意软件,它没有实质内容,但包括了经过混淆的可执行代码,看上去非常简洁。...通常,安装了word程序的用户可能会打开超过2个或更多数量的文档。然而,当该恶意软件植入到新创建的虚拟机和word环境中后,总是状况不断,不能正常运行。每次测试时手动打开一两次,总是出现程序异常。...之后,我随意创建了3个不同名称的word文档,逐一打开并关闭,让历史文档数量为3,最终成功运行并检测到了恶意软件。...恶意软件发出访问请求后,获取到宿主系统的相关信息将存储于某个数组中。如果获取到的组织机构名称与以下JSON文件中的任何机构字符串匹配,恶意软件将发生异常并停止运行。
我这里有很多个excel文件,每一个都需要打开把数据写入word。 ? 写入之后的效果如下: ? 二、思路及代码 思路:循环打开Excel,先写订单号、厂款号、客款号。...表中的数据写入word表格中 For Each ar In arr n = n + 1 '将所在行的单元格值循环写入word表的单元格中...word文档到代码工作簿路径下 doc.Quit '退出程序 Application.ScreenUpdating = True End Sub 三、知识点 新建表格 代码中涉及到新建表格并写入数据的地方...(这个代码直接在Word VBA中运行,如果需要在Excel中操作Word插入表格,需要新建Word程序对象,这属于前面的基础知识) Sub 新建表格写入数据() ActiveDocument.Tables...Excel VBA Find方法和GetOpenFileName方法 这里有我之前总结的这两个方法的具体使用,我觉得已经很详细了,供大家阅读参考。
介绍日本计算机应急响应团队(JPCERT)分享了在2023年7月检测到的一种新的“PDF中的MalDoc”攻击,该攻击通过将恶意Word文件嵌入PDF中来绕过检测。...多数工具识别该文件为PDF,但办公软件程序可以将其作为常规Word文档打开,若文件具有配置的宏,并且Microsoft Office上没有禁用自动执行宏的安全设置,则将运行宏代码。...也就是将这个带有宏的MHT 内容添加到 PDF 的对象结构后面。最终生成出来是一个有效的PDF文件,但也可以在Word程序中打开。...首先创建带有宏的mht文件,这里写一个弹框的宏代码,另存为MHT文件。图片然后利用python的reportlab库简单创建PDF文件。...利用CS生成恶意宏代码,再次生成恶意Polyglots文件,实际看看查杀情况图片简单分析MHT文件包含的VBA宏,是以ActiveMime格式存储。
双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload 全部粘贴进去,保存并关闭该 VBA 编辑器 。...另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...,这里我们需要写一个正常 无毒正常的 vba 脚本 免杀测试 新建一个包含宏的 docx 文档 然后点开发工具>>>>>点击宏 宏的位置选择当前文档,然后点击创建 然后再把 CS生成的宏代码复制进去...,因为现在还没有做免杀处理 然后文件夹下就有 233.docm 这个文件了 然后再创建一个简单的无毒 vba 脚本 保存退出,命名为 2.vba 然后按住 shift,点击鼠标右键即可在当前路径下打开...创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).
双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload ? 全部粘贴进去,保存并关闭该 VBA 编辑器 。 ?...另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...把这两个下载回来即可 使用方法: EvilClippy.exe -s hello.vba diaoyu.doc 参数说明:-s 参数是通过假的 vba 代码插入到模块中,用以混淆杀毒程序,这里我们需要写一个正常...注意:这里一定要先关闭杀软,不然会保存失败,因为现在还没有做免杀处理 然后文件夹下就有 233.docm 这个文件了 然后再创建一个简单的无毒 vba 脚本 ? 保存退出,命名为 2.vba ?...VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域 WriteProcessMemory 写入某一进程的内存区域 CreateProcess 创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件
标签:Word VBA 有多种方法可以使我们在创建、打开或关闭Word文档时自动运行宏。...此时,在右侧代码窗口顶部,会看到两个列表框。单击左侧下拉列表,将其从“(通用)”更改为“Document”,VBA将自动创建一个名为Document_New()的过程。...这样,每当创建基于该模板的文档时,将运行Document_New()过程;每当打开基于该模板的文档时,会运行Document_Open()过程;每当关闭基于该模板的文档时,会运行Document_Close...不过,存储在加载项(存储在Word启动目录中的.dotm文件)中的AutoNew、AutoOpen和AutoClose宏将无法全局运行。...但是,在Normal.dotm中存储宏存在一些问题,因此如果想避免这种情况,最好使用应用程序事件。存储在全局加载项中的应用程序事件确实具有全局行为。一些应用程序事件与文档相关。
VB是设计用于创建标准的应用程序,而VBA是使已有的应用程序(EXCEL等)自动化 2. VB具有自己的开发环境,而VBA必须寄生于已有的应用程序. 3....尽管存在这些不同,VBA和VB在结构上仍然十分相似.事实上,如果你已经了解了VB,会发现学习VBA非常快.相应的,学完VBA会给学习VB打下坚实的基础.而且,当学会在EXCEL中用VBA创建解决方案后,...即已具备在WORD ACCESS OUTLOOK FOXPRO PROWERPOINT 中用VBA创建解决方 案的大部分知识...* VBA一个关键特征是你所学的知识在微软的一些产品中可以相互转化. * VBA可以称作EXCEL的”遥控器”. VBA 究竟是什么?...此时,会打开 VBA 的编辑器窗口(VBE)。关于该编辑器,以后再详细说明,先将注意力集中到显示的代码上。
Word文档中有很多注释,比如[52] ,现在希望批量删除这些方括号及其里面的内容。 在腾讯元宝中输入提示词: 批量删除word文档中的[] 符号和[] 里面的内容,该怎么做?...在“查找内容”框中输入 \[*\]。这里的方括号 []用于匹配方括号内的任意内容,星号 *表示匹配零个或多个字符。 将光标移动到“替换为”框中,但保持该框为空。 单击“全部替换”按钮。...Word将查找文档中的所有[]符号及其中的内容,并将它们替换为空,即删除它们。 完成替换后,关闭“查找和替换”对话框。 注意:在执行此操作之前,建议先备份你的文档,以防万一出现误删或其他问题。...按下 Alt + F11组合键,打开VBA编辑器。 在VBA编辑器中,插入一个新模块(右击工作表名称 -> 插入 -> 模块)。 将上述VBA代码粘贴到新模块中。...请注意,VBA宏可能具有不同的风险级别,因此在运行宏之前,请确保你信任该宏的来源,并备份你的文档。 按照方法1操作,并没有达到效果。
Metasploit Framework 的“msfvenom”可用于创建可被使用的 DLL 文件,然后将扩展名修改为“.wll”(Word 插件程序的扩展名),并将文件移动到 Word 启动文件夹,每次...Word Add-Ins 具有“.wll”文件的扩展名,本质上是放置在 Word 启动文件夹中的 DLL 文件,每次 Microsoft Word 启动时都会加载: C:\Users\Admin\AppData...下次 Word 启动时,将加载加载 DLL 程序,并执行恶意文件: ? 还有个 Powershell 版本的脚本,可以生成相关文件(WLL、XLL、VBA)。...Office test 在注册表中创建一个注册表项,在 Office 软件启动时,会自动加载该注册表项中指定的 DLL 文件,创建命令如下: reg add "HKEY_CURRENT_USER\Software...该命令将创建以下注册表结构: ? 当 Microsoft Office 应用程序再次启动时,DLL 被执行: ?
使用生成的代码,我解决了要在Python中获得的公式,只需执行以下操作: formula=sh.Cells(row, col).Formula 如果需要改变所在的工作表,怎么办?...下面是Excel中的VBA代码: Sub Macro1() ' ' Macro1 Macro ' Sheets("Sheet2").Select End Sub 从这段代码中,发现需要调用的sheets...可能会想,到目前为止,所展示的只是如何创建一个新文档。如果要打开现有文件,该怎么办?...如果想向用户展示正在做什么,可以将Word的可见性设置为True。 如果要向文档中添加文本,则需要告诉Word要将文本放到哪里。这就是Range方法的用武之地。...虽然看不见,但有一个“网格”告诉Word如何在屏幕上布局文本。因此,如果想在文档的最顶端插入文本,告诉它从(0,0)开始。若要在Word中添加新行,需要在字符串末尾附加“\r\n”。
代码可读性好: Markdown 支持代码块的语法,可以将代码片段以可读性好的形式展示在 Word 文档中。...Word 的不便 排版不稳定: 在 Microsoft Word 中,即使在同一台电脑上使用同一个版本的软件,不同的文档在不同的电脑上打开也会出现格式错乱的情况,导致排版不稳定。...您可以使用以下命令将Markdown文件转换为Word文件: pandoc input.md -o output.docx 其中,input.md是您要转换的Markdown文件名,output.docx...是生成的Word文件名。...通过Markdown语言,可以快速创建HTML代码。例如,下面是一个使用Markdown创建HTML代码的示例: # 这是一个标题 这是一个段落。
本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。 从2019年7月开始,我来到了一个陌生的专业——网络空间安全。...它和Office的特性相关,Office支持一些自动执行的宏,如果将病毒代码放到自动执行的宏中,Word打开时会给病毒传播创造条件。...,一个程序可以打开或创建多个文档,他们存在一定区别。...自动宏”中,不包括任何感染或破坏的代码,但包含了创建、执行和删除新宏(实际进行感染和破坏的宏)的代码;将宏代码字体颜色设置成与背景一样的白色等。...通过Word VB编写脚本,设置文档打开时运行,利用CDO发送电子邮件将文件的路径和名字发送到指定邮箱中。
接下来,嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格,从而禁用Office的安全防御功能。...对于Zloader,恶意软件会使用Word中的信息更新电子表格单元格的内容。Word文档可以读取下载的.XLS文件中特定Excel单元格的内容,然后使用基于Word的VBA指令填充Excel文档。...在这种情况下,与VBA的其他滥用案例一样,Zloader也会利用这种功能来创建恶意宏脚本。 Excel将记录用户执行的所有步骤,并将其保存为一个名为“process”的宏。...接下来,Word文件会通过写入检索到的内容,在下载的Excel文件中创建一个新的VBA模块。...在禁用信任访问后,恶意软件将创建并执行一个新的Excel VBA,然后触发Zloader的下载行为。
所谓挑战,是指C#实现办公自动化的系统课程几乎空白。 所谓机遇,是指做好了有可能成为C#办公自动化第一人。 我不是专业码农,没有太多项目经验。 庆幸的是,日常办公中接触到了很多高度重复的工作。...我的目的很明确,就是想通过C#实现重复工作自动化。 也许骨子里和很多人不同,我并没有追Python的风。 C/C++,大佬们通常用于操作系统、硬件底层等领域。 而Python主攻人工智能。...根据操作示意图,我们可以得知,只要把Excel数据写入Word模板里就可以了。 首先,我会在Word里建立一张信息卡模板,放在文件夹~c003\bin\Debug\。...接着,我用Sharp Develop创建一个控制台应用程序。 大致思路:观察一下,Excel共有10条数据准备写入, 那我就把Word模板复制9份,接着使用代码循环写入就可以了。...002 开始工作 常规操作:声明、可见、定义、打开Word\Excle。 创建表格: 通过Mxr-2控制循环次数, Wdc.Tables.Count计算表格个数。
Cisco Talos最近发现了知名黑客组织74(又名Tsar Team,Sofacy,APT28,Fancy Bear…)的一种新型恶意行动,具有讽刺意味的是,这次行动中的使用的诱饵文件是一份有关美国网络冲突会议的...与之前发起的行动不同,这次的文档不包含Office exploit,也不包含0day,只有一个恶意的Visual Basic应用程序(VBA)宏。...恶意Office文档 诱饵文件 该诱饵文件的主题是美国网络冲突会议,文件名为Conference_on_Cyber_Conflict.doc,文件一共有两页,包含组织者的标志及其赞助商。 ? ?...VBA 这个Office文档包含一个VBA脚本,以下是代码: ?...在之前的行动中,参与者利用Office文档漏洞进行感染,所以此前载荷是在Office word进程中执行的,但此次不同,参与者没有利用任何漏洞,相反,有效载荷被rundll32.exe以独立模式执行。
本文演示的例子是,在Excel中使用VBA打开新的Word文档,复制Excel图表并粘贴到这个文档中。同时,介绍了一种你不熟悉Word VBA的情形下怎样获取相关的代码并在Excel中使用的方法。...首先,在Word中,我们录制一个打开新文档的宏。 单击功能区“开发工具”选项卡中的“录制宏”按钮,然后单击“文件——新建——空白文档”,接着单击“开发工具”选项卡中的“停止录制”按钮。...在Word VBA中使用Documents.Add开始,在Excel VBA中修改为WordApp.Documents.Add,并且在VBA代码中通常不需要选择并激活对象,因此,修改后的代码如下: Sub...Word并创建新文档,然后将Excel工作表中的图表复制到该文档中的代码完成。...通过重复上述相同步骤:录制简短的操作,然后将代码转移到Excel中,可以逐步构建更复杂的宏。关键是要保持操作的简短,如果用宏录制器做了太多的动作,代码就会显得冗长而可怕。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
