// C++资源编译工具,用于将任何格式的文件编译成C++代码 // 优点:单个.cpp文件,无其它依赖,一句编译后即可使用 // 编译:g++ -Wall -g -o resource_maker...resource_maker.cpp // // 编译后,会生成与资源文件对应的.cpp文件,访.cpp文件包含两个全局变量: // 1) size变量:存储资源文件的字节数大小,变量名同文件名...,但不包含扩展名部分 // 2) 资源文件的内容变量:以十六进制方式表达 // 注意,所有变量总是位于resource名字空间内。.../resource_maker.cpp // 2) 可以看到生成了对应的c++代码文件:res_resource_maker.cpp // 3) 打开res_resource_maker.cpp...// 接下来,就可以根据需求使用以变量的形式在c++代码中以只读的方式访问资源文件了,如: // namespace resource { // extern size_t resource_maker_size
从鱼叉邮件的 RTF 文档附件开始,到失陷主机释放 Agent Tesla 可执行文件结束。...感染链的多个阶段中在 RTF 文档中使用 OLE 对象,在 OLE 对象的 OOXML 中包含混淆的 VBA 代码,VBA 代码执行 Powershell 代码,最终释放 Agent Tesla 程序。...感染过程 鱼叉邮件附件 感染链从 RTF 文件开始,该文件作为鱼叉邮件的附件进行发送。受害者执行后会向用户连续显示 5 个启用宏的请求。...每个 OOXML 中的 VBA 代码都很短,而且带有很多空格和换行符来阻碍研究人员进行分析。 ? 为了阻止对代码进行静态分析,代码使用的变量包含在每个 OOXML 中表格的特定单元格内。...实际上,诸如 oletools 和 oledump 之类的静态分析工具无助于提供有关 VBA 代码的任何详细信息。此外,使用 ViperMonkey 对 VBA 进行动态分析也并不成功。
它还将恶意 OTM 文件(Outlook VBA 项目)保存到磁盘,其中包含宏、恶意电子邮件附件,在某些情况下,还保存了电子邮件应发送到的收件人列表。...如图 2 所示,VBA 代码构建电子邮件正文并将恶意文档附加到电子邮件中。我们已经看到.docx和.lnk文件都被用作附件。...Outlook VBA 模块生成的电子邮件,带有包含远程模板的 Word 文档附件 该电子邮件包含英文和俄文文本。但是,如图 3 所示,俄语编码存在问题。...值得注意的是,有两个文本文件,一个用于 Word,一个用于 Excel,包含要插入目标文档的恶意宏的 VBA 源代码,以及负责查找和破坏现有文档的 .NET 程序集。...那里提交的代码清楚地显示了 C# 下载器的演变。第一个版本没有任何混淆的迹象;然后开发人员添加了不同的字符串混淆和垃圾代码,使分析更加困难。
当然你也可以先尝试一下加载项能否在你的电脑上正常工作,可以的话就不用搞这么复杂了:下载ISD WebTeam 重构邮件附件检查加载项For Outlook 2007/2010 准备工作 Office的默认设置在各个版本中各有不同...As String fileCount = 0 msg = "你尚未添加网页附件,确定要发送吗?"...Else Cancel = True End If End If End Sub 代码说明:这段代码的作用是在邮件发送事件发生时,首先检查邮件主题是否包含...“重构待确认”字样(根据重构周知邮件规范),如果是,则检查是否包含后缀名为"html"或者"htm"的附件(必须检查后缀,因为签名中就有一张图片作为附件,同时邮件中也有可能有数量不定的图片附件)。...image.png 图6:启动提示,启用宏 至此,我们的设置就完成了。你可以编写一封新邮件作为测试,在主题中包含“重构待确认”字样,不添加任何html网页文件作为附件,收件人最好写自己。
默认情况下,文件以二进制附件的形式发送,但您可以将其指定为文本。如果文件是文本,还可以指定该文件使用的字符集。...如果指定了Filename,则附件被视为文件附件。否则,它将被视为内联附件。...在这种情况下,不能添加任何其他附件。 示例:MessageWithAttach() 以下示例生成一封带有一个硬编码附件的简单电子邮件。...此方法返回一个状态,应该检查该状态。 如果返回的状态指示错误,请检查Error属性,该属性包含错误消息本身。 检查FailedSend属性,该属性包含发送操作失败的电子邮件地址列表。...为此,请设置全局节点%SYS("StreamLocation",namespace),其中NAMESPACE是运行代码的名称空间。
Zloader是一种针对银行的特洛伊木马,旨在窃取目标金融机构用户的凭据和其他私人信息。 Zloader的初始攻击向量是基于收件箱的网络钓鱼消息,其中会附带Word文档附件,并包含非恶意的代码。...初始感染链 研究人员通过分析后发现,恶意软件首先通过包含Microsoft Word文档作为附件的网络钓鱼电子邮件抵达目标用户的主机系统。...而VBA则是微软用于Excel、Word和其他Office程序的编程语言,VBA允许用户使用宏记录器工具创建命令字符串。...接下来,Word文件会通过写入检索到的内容,在下载的Excel文件中创建一个新的VBA模块。...一旦Excel宏被创建并准备好执行,脚本将修改Windows的注册表键以禁用受害者计算机上VBA的信任访问。这使得脚本能够无缝地执行功能,而不会弹出任何的警告。
技术分析 (1)感染过程 Nanhaishu木马被捆绑到鱼叉式邮件附件中通过电子邮件发送,使用社会工程邮件文本内容,吸引用户打开恶意附件。 附件通常是包含了恶意宏程序的XLS或DOC文档。...Office程序在执行宏代码之前会显示一个选择宏功能运行的通知消息: 如果用户不小心选择启用宏代码enable content功能,那么攻击者的恶意VBA宏代码将会执行 大多数样本的VBA宏代码中内置了两套...(2)混淆 攻击者嵌入在诱饵文件XLS和Jscript中的VBA宏使用了Base64编码。...其他 恶意宏代码的Jscript脚本中包含一个名为“gVersion”的常数变量,该变量似乎用于攻击者在源代码中识别木马名字或版本,“gVersion”还包含以下不同字符串内容: 1.hta[1.1]doj.m...调查结论 Nanhaishu属于窃取信息资料的远程访问木马(RAT),它能够接收和执行JScript和VBScript代码指令,也可以上传下载任何文件脚本,进一步渗透,将会造成目标系统敏感信息泄露。
在我们看到的活动中,带有恶意 XLL 附件或链接的电子邮件被发送给用户。双击附件打开 Microsoft Excel,提示用户安装并激活加载项。 图 1 – 打开 XLL 文件时向用户显示的提示。...但是,XLL 文件是可移植的可执行文件,遵循许多电子邮件网关已经阻止的动态链接库 (DLL) 的格式。我们建议组织考虑以下缓解措施: 配置您的电子邮件网关以阻止包含 XLL 附件的入站电子邮件。...您可以通过查看资源名称或同样存储在资源部分中的 XML 定义文件来识别包含 Excel 加载项代码的文件。 图 5 – Excel-DNA XML 定义。...在此示例中,包含恶意代码的加载项是在 .NET 中开发的,位于MODDNA资源中。...要检查代码,您首先需要将此资源保存到磁盘并使用 Lempel-Ziv-Markov 链算法 (LZMA) 算法对其进行解压缩。
标签:VBA,FileCopy方法 我们可以使用VBA来复制文件,这里介绍5个实现VBA复制文件的示例。...在下面的代码中: 声明变量 将值赋值给变量 变量用于FileCopy语句中 Sub CopyFileVariables() Dim copyFromFile As String Dim...示例3:基于单元格值复制文件 在本例中,我们使用单元格值中包含的文件路径复制文件。 如下图1所示,单元格C2包含当前文件路径,单元格C4包含文件要复制到的路径。...示例4:在VBA复制之前检查文件是否存在 FileCopy命令将覆盖文件,而不会显示任何错误。因此,在复制文件之前,最好先检查文件是否已经存在。 下面的代码检查目标位置中是否存在文件。...下面的代码构建在示例4的基础上,如果出现任何错误,也会显示一个错误消息框。
StoreAttachToFile-指定在读取邮件时(当邮件包含Content-Disposition;附件标题时)是否将每个附件保存到文件。默认值为False。...StoreInlineToFile-指定在读取邮件时(当邮件包含Content-Disposition;内联标题时)是否将每个内联附件保存到文件中。默认值为False。...请注意,除非还设置了AttachDir,否则此设置不起任何作用。 AttachDir-指定将附件保存到的目录。没有违约。根据操作系统的不同,确保使用斜杠(/)或反斜杠(\)结束目录名称。...%New() //HotPOP POP3服务器使用默认端口, Set server.port=110 //以防我们计划获取任何带有附件的邮件 Set server.StoreAttachToFile...这些方法中的每一个都返回一个状态,应该在继续之前检查该状态。
提示:错误处理对于所有VBA过程(包括函数和类方法)都以相同的方式工作。 Err对象 Err对象是VBA不可或缺的一部分,总是可用于你的程序。任何时候,Err对象都包含有关最近发生的错误的信息。...延迟错误处理 另一种错误处理技术是延迟对错误的处理。换句话说,VBA不会捕获错误,而是将其忽略。然后,你的代码可以检查Err对象,以查看是否发生的错误类型。...任何后续的错误(在该过程中)都将被忽略,有关该错误的信息将放置在Err对象中。你的代码可以使用此信息来确定是否发生错误,以及发生错误采取的操作。...If Err.Number > 0 Then ‘这里是检查错误号的代码及合适的响应. End If 这项技术只能用于某些错误,特别是那些可以推迟处理的错误。该技术不适用于即使是暂时也无法忽略的错误。...,如果该过程未找到任何包含批注的单元格,则可能需要通知用户。
另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。...,这里我们需要写一个正常 无毒正常的 vba 脚本 免杀测试 新建一个包含宏的 docx 文档 然后点开发工具>>>>>点击宏 宏的位置选择当前文档,然后点击创建 然后再把 CS生成的宏代码复制进去...,因为现在还没有做免杀处理 然后文件夹下就有 233.docm 这个文件了 然后再创建一个简单的无毒 vba 脚本 保存退出,命名为 2.vba 然后按住 shift,点击鼠标右键即可在当前路径下打开...后,CS 上依旧是可以执行命令的 PS: VBA 宏代码解释:CobaltStrike 生成默认的 VBA 会导入四个 Windows API 函数,常见的 ShellCode 加载器 代码: CreateRemoteThread
之后关闭,再打开即可执行宏代码。 如何快速处理宏免杀 说到免杀要搞清楚我们的附件在什么环节被杀了,首先科普一下当下杀软的三种查杀方式:1.静态查杀 2.云查杀 3.行为查杀。...这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。...无毒正常的 vba 脚本 免杀测试 新建一个包含宏的 docx 文档 ?...注意:这里一定要先关闭杀软,不然会保存失败,因为现在还没有做免杀处理 然后文件夹下就有 233.docm 这个文件了 然后再创建一个简单的无毒 vba 脚本 ? 保存退出,命名为 2.vba ?...关掉 Word后,CS 上依旧是可以执行命令的 PS: VBA 宏代码解释:CobaltStrike 生成默认的 VBA 会导入四个 Windows API 函数,常见的 ShellCode 加载器 代码
Office 97-2003 Word 的文件后缀为 doc,新版本的 Office 文件后缀为 docx,包含宏的文档后缀为 docm。...VBA 编辑器 ? 与原来的文档没有任何区别,接下来使用 Office2013(64 位)打开 ? VBA 编辑器 ?...,从源头上讲 Word 是一个 zip 文件,解压之后的 vbaProject.bin 包含着要执行的宏信息,也是杀软的重点关注对象,可以修改该文件名用于规避检测,步骤分以下三步 1、将“vbaProject.bin...三、动态检测沙箱可以利用 dotnet 属性以及 WMI 来检测 Office:是否含有最近的文档,正在运行的任务数,特定进程检查(vbox,vmware 等等),检测备用数据流(ADS),判断计算机是否是域的一部分...(Win32_ComputerSystem 类中 PartOfDomain 对象),检测 Bios 信息,检测即插即用信息(Win32_PnPEntity),检查用户名,检测文件名 hash,检测文件名是否被易名
“当我们注意到恶意文件没有经过编译的代码,并且也缺少Office元数据时,我们很快想到了EPPlus。该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”...Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码专门用于在Microsoft专有Office软件中编译的Excel文档。...OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。 使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。...EPPlus没有创建编译代码的方法:创建编译VBA代码的算法是Microsoft专有的。...已编译的VBA代码可以存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码,该格式也受到密码保护,以防止安全系统和研究人员分析其内容。 ?
累人 【想想方法】能不能,谁要文件做个记号"y",全部记好,群发邮件,A单位的发A单位的附件,B单位的发B单位的附件,……,简单说就是群发邮件,每邮件发不同的相应的附件,一键群发。...:程序循环读取 (8)是否发送:要求要的单位 设定“y”,程序判断再发送, (9)是否成功:程序反馈 【代码】 Private Declare PtrSafe Sub Sleep Lib...邮箱功能锁定,所以加了Sleep(3000)函数 【其他有用的代码】 Sub 选择附件() Dim fileToOpen disAppSet (False) ChDir ThisWorkbook.Path...,Application.GetOpenFilename 方法显示标准的“打开”对话框,并获取用户文件名,而不必真正打开任何文件,只是把打开文件名称返回程序。'...返回值Variant说明如果点击了取消,返回false 语法:'Application.GetOpenFilename(文件类型筛选规则,优先显示第几个类型的文件,标题,是否允许选择多个文件名)表达式.
标签:Word VBA 本文提供的Word VBA程序可以在Word中制作类似网站中的屏幕提示,即将鼠标悬停在特定文本上时显示包含相关信息的小框。...下面是一组自动执行这些操作的VBA程序。 AddScreenTipForText过程允许以结构化的方式添加屏幕提示超链接。...程序代码如下: '声明下面程序使用的常量 Public Const cstrBKStart = "_ScreenTip_" '用于消息: Public Msg As String Public Title...'你可以修改为你喜欢的颜色 objColor = wdColorViolet '下面指定的字符串用于指定屏幕提示文本中的换行符....Msg = "所选内容已经包含超链接.将不会作任何改变."
AMSI支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。 AMSI 还支持会话的概念,以便反恶意软件供应商可以关联不同的扫描请求。...随后,AmsiScanBuffer() 将检查已注册的防病毒软件以确定是否已创建任何签名。 如果内容被认为是恶意的,它将被阻止。 AMSI 体系结构 ?...简单来说就是: 记录宏行为>>触发对可疑行为的扫描>>在检测到恶意宏时停止 查杀过程 记录宏行为 我们知道VBA 语言为宏提供了一组丰富的函数,可用于与操作系统交互以运行命令、访问文件系统等。...这些数据对于确定宏是否恶意以及创建检测指标很有价值——所有这些都不受源代码混淆的影响。...后记 对于 Windows 用户,任何在 Windows 10 的内置脚本主机上使用混淆和规避技术的恶意软件都会在比以往任何时候都更深的层次上进行自动检查,从而提供额外的保护级别。
默认为False,即非调试模式,表示不输出任何调试信息。...() 注意:msg 是MIMEText对象,不是一个dict对象,因此在某些循环发送Email的代码中,msg对象不能重复使用,如果只是修改msg['To']的值,想将相同的Email信息发送给不同的人...' + '' msg = MIMEText(msg_str, 'html', 'utf-8') image.png 6、发送带图片附件的邮件 带附件的邮件可以看做包含若干部分的邮件...attachment:弹出对话框让用户下载 ---- 7、发送包含各种附件形式的邮件 try: msg = MIMEMultipart() msg['From']...,因为不知道这些链接是否指向恶意网站 要把图片嵌入到邮件正文中,我们只需按照发送附件的方式,先把邮件作为附件添加进去,然后,在HTML中通过引用src="cid:0"就可以把附件作为图片嵌入了。
因此,这将筛选出任何包含“机”的项目。 示例:复制筛选出的行到新工作表 如果不仅要根据条件筛选记录,而且要复制筛选的行,那么可以使用下面的宏。...这段代码检查整个工作表,删除已经应用的任何筛选。...检查是否已应用自动筛选 如果有一个包含多个数据集的工作表,并且希望确保知道没有筛选已经就位,则可以使用以下代码: Sub CheckforFilters() If ActiveSheet.AutoFilterMode...End If End Sub 上面的代码检查FilterMode属性是否为TRUE或FALSE。...图4 虽然这在已设置了筛选时有效,但如果尝试使用VBA代码添加自动筛选,它将不起作用。由于工作表受到保护,因此不允许运行任何宏并对自动筛选进行更改。
领取专属 10元无门槛券
手把手带您无忧上云
