首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

攻击者开始使用 XLL 文件进行攻击

这些加载都是为了使用户能够利用高性能函数,为 Excel 工作表提供 API 调用接口。与 VBA 等其他接口相比,该方式能够更有效地扩展 Excel 能力,使其支持更多功能,例如多线程。...△ 提示信息 攻击者通常将代码置于 xlAutoOpen函数,该函数会在加载被激活时立即触发执行。这意味着,与要求用户启用宏 VBA 宏不同,受害者只要打开就会执行恶意代码。...△ 构建工具截图 EXCEL-DNA 生成加载 发现 XLL 文件大部分都有相同结构,本质上说,XLL 文件是包含 xlAutoOpen导出函数 DLL 文件。...△ 文件资源段结构 其中包含 Excel-DNA 项目组件以及加载,可以通过查看资源名或者同样存储在资源 XML 定义文件来识别包含 Excel 加载 XLL 文件。...△ 解密代码 一旦数据被解密,样本可以提取三个 DLL 文件名、五个 API 函数名、Payload URL 以及存储 Payload 本地文件路径。

1.4K10

如何在Excel加载第三方插件,让你Excel功能更加强大!!!

这些加载分为两类:一类是以Excel加载宏格式(文件后缀名为“.xla”【2007版之前后缀名】、“.xlam”【2007版本之后后缀名】)存储;另一类是以.dll文件封装com加载宏。...第二种com加载加载比较简单,下载软件之后默认安装,系统会自动把.dll文件载入到Excel相应com加载宏目录里,打开Excel文件就可以在主界面菜单栏里面看到!...然后进入Excel主界面菜单栏,找到开发工具,点选加载,进入,浏览,然后你会看到.xlam加载存储文件夹,然后鼠标右键,黏贴。...今天要给大家分享两款,Excel制作高级图表必备神器,顺便演示一下怎么调用加载宏: 第一个是Ec_Chart_Alignment.xlam ,这款插件主要功能是,可以将Excel图表数据标签轻松批量移动到绘图区上...详细教程请参考刘万祥老师搜狐博客,网址:http://excelpro.blog.sohu.com/303863138.html 另一款是名叫XYChartLabeler .dll格式com加载

7.3K50
您找到你想要的搜索结果了吗?
是的
没有找到

攻击者如何使用 XLL 恶意软件感染系统

攻击者通常将他们代码放在xlAutoOpen函数,该函数在加载被激活时立即执行。...将 Microsoft Excel 配置为仅允许受信任发布者签名加载。 配置 Microsoft Excel 以完全禁用专有加载。...这包括 Excel-DNA 项目组件以及加载,在本例是恶意软件释放程序。您可以通过查看资源名称或同样存储在资源部分 XML 定义文件来识别包含 Excel 加载代码文件。...图 5 – Excel-DNA XML 定义。 在此示例,包含恶意代码加载是在 .NET 开发,位于MODDNA资源。...image.png 图 8 - 自定义恶意 Excel 加载 jmp 混淆。 为了了解它工作原理,我们删除了 jmp 指令,只分析了相关指令。我们注意到加密数据位于可执行代码之后文件

2.1K10

数据分析经典图书大全,专治各种不懂!

2.3《Excel VBA从入门到精通》 作者:郭刚,陈峰 等 简介:本书分为五篇,其中第一篇是VBA基础知识篇,主要内容包括VBA概念、宏和VBA开发环境;第二篇是VBA基础语法篇,主要内容包括VBA...语法基础、VBA基础语句、程序结构控制语句、过程、Sub与Function过程;第三篇是Excel VBA对象篇,主要内容包括Excel VBA对象模型和应用程序对象、工作簿对象、工作表对象、单元格对象和图表对象...;第四篇是VBA高级应用篇,主要内容包括自定义Excel 2010用户界面、工作表控件、界面设计、XML与VBA加载宏和数据库编程等;第五篇是综合实例与面试问答篇,主要讲解了成绩管理系统和日程安排表两个综合实例...四、 数据分析工具利器-SAS 4.1《SAS统计分析应用》 作者:董大钧 主编 简介:本书基于SAS 9.1.3文版本编写,介绍了SAS Learning Edition基于窗口点击式环境以及Base...4.3《SAS编程与数据挖掘商业案例》 作者:姚志勇 编著 简介:本书是作者多年来在企业实践工作经验总结,详细讲解了使用SAS进行商业数据挖掘方法,其中包含了目前公开出版诸多SAS教材没有的大量实战内容

2.1K80

攻击者使用 VSTO 接替宏进行武器化攻击

微软 Visual Studio IDE 中提供了一个软件开发工具集 VSTO,通过 VSTO 可以支持在 .NET 开发 Office 加载,还允许创建能够执行这些加载 Office 文档文件...VSTO 加载可以与为其开发特定 Office 应用程序(Word、Excel 等)相关联,并将在每次启动该应用程序时执行,从而顺带实现了持久化能力。...本地 VSTO 本地 VSTO 会将 .NET 编译 .DLL 加载及其依赖与为执行它而创建 Office 文档存放在一起,例如 ISO 文件。...全部文件 一旦受害者打开恶意文档,就会提示用户安装加载,与之前使用 VBA 宏时引诱用户启用内容十分相似。...例如,恶意 Word 文档从远程获取 VSTO 加载: 远程 VSTO 下载 DLL 加载,嵌入了下载加密 ZIP 文件代码。

85730

干货 | Office文档钓鱼实战和免杀技巧

EvilClippy.exe -gg macrofile.doc Stomp VBA(滥用P代码)VT 查杀 12/60 效果很好,过火绒 将来自文本文件fakecode.vba虚假VBA代码放在所有模块...请注意,VBA项目版本必须与主机程序匹配才能执行P代码 EvilClippy.exe -s 1.vba macrofile.doc 参数说明:-s 参数是通过假 vba 代码插入到模块,用以混淆杀毒程序...,这里我们需要写一个正常 无毒正常 vba 脚本 注意:VBA重踏不适用于以Excel 97-2003工作簿(.xls)格式保存文件 Sub Hello()Dim XX=MsgBox("Hello...实战过程可以远程加载我们木马。...可以将IYQ简单理解成内置在excel一种特殊‘web浏览器’(不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上列表数据轻松引入到当前excel,而正是因为这样,从而给了我们利用

6.4K21

常用功能加载宏——调用微信截图

Excel2010版本以上有一个屏幕截图功能: ? 但这个功能在使用时候,不是很方便,电脑版微信截图功能就比较丰富,使用也很方便。...使用VBA来调用微信dll就可以实现在Excel里使用微信截图功能了: ?...,所以要使用API,首先定义微信dllAPI: Private Declare Function PrScrn Lib "PrScrn.dll" () As Long VBA加载dll时候,默认是在系统目录查找对应...dll,所以,可以先把PrScrn.dll复制一份到系统目录,但不建议轻易去操作系统目录,我们使用另外一种方法来加载dll。...或者微信安装目录没有PrScrn.dll,也可以百度搜索PrScrn.dll,下载存放到电脑上,然后设置程序dllpath就可以。

2.6K20

从零开始学量化(二):pythonmatlabrsasvba选哪个

上一篇总结了一些入门知识内容,本文结合个人经验,总结编程软件方面的内容,对各种软件在量化上应用做一个对比,供参考。...VBA是比较特殊一门语言,内嵌在OFFICE,是VB简化版,不仅仅是针对EXCEL了,WORD,PPT里都可以用,有时候也叫宏,基本是一样,只不过VBA是码,宏是录。...VBA最强大地方在于跟OFFICE交互,进而实现批量和自动化,这个是前面几种语言比不了,比如你可以用python/r做统计分析把数据输出到excel里,然后再用vba作图/算各种统计量最后出一份报告或者做一份模板...可以通过vbaexcel一张表视为数据库表,用select语句进行操作,如果数据量很大的话,上百万,直接操作分分钟卡死,用vba会很快。...个人理解,excelvba尽量减少激活各个sheet单元格,跳来跳去,有什么东西可以直接往里写,这样会快一些。

5.5K90

「数据ETL」从数据民工到数据白领蜕变之旅(七)-将Excel(PowerQuery+VBA)能力嫁接到SSIS

再进行数据加载过程,在模板文件实现仅对当次循环文件数据处理加工,并将其保存后,供下游SSIS数据流任务调用此模板文件,实现模板文件内容上传到数据库。...dotNET与VBAExcel对象模型上差别 在dotNET脚本,引用Excel对象模型,理论上可以替代VBA脚本,但本轮测试发现,在dotNET上Excel对象模型,貌似未能有最全开放给VBA...就算用上了最新PIA,16版Microsoft.Office.Interop.Excel.dll,仍然会对一些新方法如调用WorkbookQueries对象报错。...区别于一般PowerQuery方式仅提供读取数据功能,本篇使用SSIS还会对数据进行抽取完归档操作,归档过程,通过重命名文件名方式,方便查阅数据归档操作时间。...最终效果 将SSIS包进行执行后,结果如下: 加载过后文件已归档成功,加上时间戳信息。 数据库数据成功加载。 在源文件,特意做不同文件不同标识,证明文件已按预期上传成功。

4.5K20

当Python遇到Excel后,将开启你认知虫洞

最终用户使用方式是用主系统完成大部分工作。如果想调整Excel报表样式,可以直接用Excel来完成(会在Excel上提供一些自定义菜单和按钮,现在通过加载【Add-ins】来说实现) ?...第3种是office.js,这是微软官方提供一个基于JavaScript程序库。基于Node.js,可以用JavaScript完全取代VBA实现Excel以及Office其他成员加载。...xlwings可以单独使用,也可以通过xlwings office加载提供RunPython函数运行Python代码。...在xlwings安装目录有一个xlwings.xlam文件,该文件是Excel加载文件,也就是Excel VBA发行包文件。...现在随便开启一个空Excel workbook,然后点击“工具”>“Excel加载”菜单项,会打开如下图所示对话框,找到xlwings.xlam文件,并选中该文件。 ?

3.5K31

Python让Excel飞起来:使用Python xlwings实现Excel自动化

第一部分:安装xlwings 安装xlwings有两个部分:Python库和Excel加载。...先安装Python库: pip install xlwings 然后从xlwings官方Github存储库下载这个Excel加载,即页面上xlwings.xlam文件。...(或者,你可以到知识星球完美Excel社群下载) 将xlwings.xlam文件放入Excel加载文件夹,该文件夹所在位置为: C:\用户\xxxx\AppData\Roaming\Microsoft...然后,打开Excel,选择“文件->选项->加载”。单击“管理:Excel加载”旁边“转到”按钮,如下图1所示。...第四部分:在Python编写用户定义函数并在Excel调用该函数 高级Excel用户都知道,我们可以在VBA创建用户定义函数。这项功能很棒,因为并非所有内置Excel函数都适合我们需要。

8.1K41

打破Excel与Python隔阂,xlwings最佳实践

xlwings 加载 暂且不解释他原理,稍后在实践再讲解其中机制。...---- 直觉理解运行机制 目前为止,我们没有编写一句 vba 代码,只是简单定义出一个加载数据 Python 自定义函数,就可以在 Excel 上使用公式实现效果。...首先,我们之所以能在 Excel 上输入公式时,出现我们自定义函数,是因为在这个 Excel 文件,存在 vba 代码,定义了同名方法: 从 vbe 界面可以看到,当我们点击"导入函数"按钮时...,xlwings 在按照 Python 文件定义函数,生成了对应 vba 代码 其中也能看见,调用时需要 Python 文件名,函数名字,和其他参数 vbe 是 编写 vba 代码界面。...这问题由于 xlwings 在执行 vba 方法时,会启动一个 Python 进程(只有首次运行时候),然后加载 myproject.py 代码。但他没有设置启动目录。

5K50

渗透测试与开发技巧

需要在对应版本.NET环境才能正常运行,通过c++编写dll更加通用 通过rundll32.exe或者regsvr32能够加载dll,但要求dll包含特定导出函数 参考: 《Code Execution...persistence》 方法11:Office加载 如果系统已安装office软件,可通过配置Office加载实现劫持,作为被动后门 常用利用方式: Word WLL Excel XLL Excel...VBA add-ins PowerPoint VBA add-ins POC:https://github.com/3gstudent/Office-Persistence 参考: 《Use Office...MSDTC服务加载dll,实现自启动,并绕过Autoruns对启动检测 参考: 《Use msdtc to maintain persistence》 方法14:Hijack CAccPropServicesClass...,劫持Explorer.exe对linkinfo.dll加载 方法17:劫持Office软件特定功能 通过dll劫持,在Office软件执行特定功能时触发后门 参考: 《利用BDF向DLL文件植入后门

4.3K20

使用VBA时不妨借力Excel催化剂能力,让你开发更加轻松便捷

虽然Excel催化剂已经包含了大量功能,但面对现实工作,各种纷繁复杂场景,仍然显得不够。...VBA调用自定义函数原理 在工作表自定义函数开发,存在两种类似的自定义函数,一种是存储在xlam或xlsm上,一种存储在xll文件上。其开启关闭都在Excel普通加载处,如下图所示。 ?...第一个参数是宏名称,即自定义函数名称,其他参数为自定义函数使用参数。 能够使用Application.Run调用加载自定义函数前提是此加载已经在启用状态,否则是不能生效强行调用会报错。 ?...模块1.testFunc") 注意:在xll文件自定义函数没有全名概念,所以还是保留着只引用函数名调用方式,如果有重名,笔者也不知道会出现什么情况,有兴趣读者可以自行测试 VBA调用Excel...催化剂开发自定义函数效果 因为Excel催化剂使用.net技术开发了大量自定义函数,所以在VBA开发过程,完全可以复用这些函数,减少自己代码量,同时因为使用了.net技术,许多在VBA里难以实现算法

1.4K20

利用 Office 来进行系统权限维持

Office 外部插件是 DLL 文件,扩展名不同,表示使用不同应用程序,例如 .wll 代表 Word,.xll 代表 Excel。...最好方法是创建一个不会导致应用程序崩溃自定义 DLL 文件 DLL_PROCESS_ATTACH 可以把 DLL 加载到当前进程虚拟地址空间(Word、Excel、PowerPoint 等),DLL...Word Add-Ins 具有“.wll”文件扩展名,本质上是放置在 Word 启动文件夹 DLL 文件,每次 Microsoft Word 启动时都会加载: C:\Users\Admin\AppData...下次 Word 启动时,将加载加载 DLL 程序,并执行恶意文件: ? 还有个 Powershell 版本脚本,可以生成相关文件(WLL、XLL、VBA)。...Office test 在注册表创建一个注册表项,在 Office 软件启动时,会自动加载该注册表项中指定 DLL 文件,创建命令如下: reg add "HKEY_CURRENT_USER\Software

1.3K40

VBA: 隐藏模块中出现编译错误:解决对策

通过64位office软件打开早期excel文件,如果代码存在早期面向32位office编写VBA代码,可能会存在上述编译错误。...(2)如果没有访问文档 VBA 代码权限,请与文档作者联系,让作者更新隐藏模块代码。...只有在 64 位版本 Microsoft Office 运行 VBA 代码时,才需要修改 VBA 代码。...在 64 位 Office 运行旧 VBA 代码问题在于,将 64 位加载到 32 位数据类型中会截断 64 位数。这会导致内存溢出、代码中出现意外结果,并且可能导致应用程序故障。...调用DialogBoxParamA显示VB6INTL.dll资源第4070号对话框(就是输入密码窗口) '若DialogBoxParamA返回值非0,则VBE会认为密码正确,所以我们要hook

11K10

VSTO开发Excel插件自动更新实现效果演示

使用传统VBA方式开发,开发过程简单,布署也方便,直接把Excelxlsm或xlam文件发给用户,用户打开就可以使用,但现在问题来了,如果出现前面所说程序有bug和需要增加新功能,我们怎么办?...一般情况下,我想都是需要重新开发一个新xlsm或xlam文件,然后重新发给用户,这当中如果频率太频繁,用户手里积累了好多个xlsm或xlam,也很难分清具体哪个是最新(就算文件名上可以标识,但很难保证每个用户都每个用户都记得去下载最新版...用户使用Excel就像使用一个网页浏览器一样,每次打开Excel,都能得到最新功能,而整个升级过程,完全不需要用户做半点操作,一切都是自动完成,瞬间完成,代码和数据分离,整个更新过程只是代码部分,不需加载和传输用户数据部分...例如传统VBA是以文档形式和用户做传输,用户对文件来源和文件内代码安全性很难把控,就算相信某个开发者,但也很难保障到最终拿到手里文件是出自此开发者,传输过程没有被恶意修改过等等。 ?...同样发VSTO方案,用户也需要手动配置好信任开发者存放dll等代码文件位置,如果开发者不按要求放到某个位置,用户机器可以拒绝对其信任。

2.2K20

windows中常见后门持久化方法总结

然后我们将administrator用户对应F值复制到test$对应xiangF值,然后保存 ?...该注册表对应COM对象MruPidlList,作用于shell32.dll,而shell32.dll是Windows32位外壳动态链接库文件,用于打开网页和文件,建立文件时默认文件名设置等大量功能...Excel XLL Excel dll编写可以参考三好师傅这个项目:链接 用三好师傅powershell脚本生成现成Excel dll:链接 将生成DLL文件复制到%appdata%\Microsoft...PowerPoint VBA add-ins 用三好师傅powershell脚本生成现成PowerPoint dll:链接 将生成DLL文件复制到%appdata%\Microsoft\AddIns...helper yourdll.dll来添加拓展功能,添加了之后,在启动netsh时候就会加载我们dll文件 添加自定义helper dll 关于helper dll编写可以参考这个项目:链接 我们可以使用两种方式来添加

1.7K20
领券