利用MHT类型,免杀宏病毒

最新推荐文章于 2025-04-22 22:12:37 发布
最新推荐文章于 2025-04-22 22:12:37 发布
阅读量2.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 宏病毒 文章标签: 宏病毒免杀 免杀 MHT类型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cssxn/article/details/88128741
本文探讨了如何在Word文档中使用宏代码弹出MsgBox,并将文档保存为MHT格式,这一操作使得常见的OLE分析工具无法正确识别文档类型,即使将MHT文件后缀改为DOC,宏代码仍能正常执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先使用Word创建一个利用宏代码弹MsgBox的样本,如下图:
在这里插入图片描述
保存内容后,另存为MHT格式文件
在这里插入图片描述
文件内容如下:
在这里插入图片描述
此时,再使用一些常用的ole分析工具,就识别不了这个类型了,比如正常的word文档可以使用压缩软件查看一些ole内部结构相关的数据
在这里插入图片描述
正常的word文档,使用7z查看
在这里插入图片描述
问题就在,如过把刚刚的2.mht 改成2.doc,完全不影响宏执行

在这里插入图片描述

计算机文化基础必背知识点
s13596191285的博客
06-24 462
计算机处理数据时,CPU通过数据总线一次存取、加工和传送的数据称为字,计算机的运算部件能同时处理的(这一组)二进制数据的位数称为字长。还包括机器的兼容性(数据和文件的兼容、程序兼容、系统兼容和设备兼容),系统的可靠性(平均无故障工作时间),系统的可维护性(平均修复时间),机器允许配置的外部设备的最大数目,数据库管理系统及网格功能等。对计算机硬件资源的有效控制与管理,提高计算机资源的使用效率,协调计算机各组成部分的工作,并在硬件提供的基本功能的基础上拓展计算机的功能,提高计算机实现和运行各类应用任务的能力。
PPT制作技术收集
dianmao0917的专栏
06-14 4222
1. 两幅图片同时动作 PowerPoint的动画效果比较多,但图片只能一幅一幅地动作。如果你有两幅图片要一左一右或一上一下地向中间同时动作,可就麻烦了。其实办法还是有的,先安置好两幅图片的位置,选中它们,将之组合起来,成为"一张图片"。接下来将之动画效果设置为"左右向中间收缩",现在请看一看,是不是两幅图片同时动作了? 2. 滚动文本框的制作 右击工具栏打开"控件工
基础三步走之二(PE文件结构).mht
02-23
PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实,如果在纯Windows环境下运行,DOS文件头、DOS加载模块根本是用不上的,加上两个DOS相关的结构完全是为了兼容性问题。 为了方便观察与理解,我们可以通过观察图1大体了解PE文件的结构。
对抗-宏
xiaoheizi的博客
10-07 1785
编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs。5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台。4.点击开发工具——新建 宏——任意 宏名——宏的位置(之前新建的word文档)——创建。5.跳转到如下,将cs生成的宏代码写入——点击保存——取消。3.自定义功能区——勾选 开发工具——点击确定。
对坑-白加黑dll劫持
最新发布
qq_73685476的博客
04-22 1204
对坑-白加黑dll劫持
Cobalt-Strike Office宏利用
weixin_48967543的博客
04-29 1786
1.打开Cobalt-Strike生产Office宏病毒。 首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。 然后使用攻击模块,生产Office宏病毒。 设置好监听器。 生成宏病毒 2.将宏病毒放入word 首先打开Word,在审阅中编辑宏: 创建新的宏: 将生成的宏病毒放入Microsoft Word目录下的ThisDocument,注意如果宏位置写错了很容易报错。 按下Ctrl+S,将文件保存为启用宏的Word文档,注意这里的作者需要修改,否则默认会使用账户名 此时带宏病毒的Wo.
病毒技术-理论篇
lirunling的博客
06-05 2093
现有的病毒技术主要分为三种,其中一种就是行动,通过控制病毒木马的行为来躲过毒软件主动防御检测的目的,而这种行为所用到的处理技术之一就是通过Anti Rookit来使反病毒程序的Rootkit失效,从而不能有效地监测系统;初步过程:目标反病毒软件强度如何?目标反病毒软件有何弱点?目标反病毒软件使用了什么独特的反病毒技术?要怎样才能突破它?待处理的恶意程序是用什么语言编写的?待处理的...
何谓
学习........
09-30 803
3b68c957,顾名思义就是说避毒软件查的方法也有很多种,针对不同的情况我们运用不同的方法。 ⒈文件:加花/修改文件特征码/加壳/修改加壳后的文件。 ⒉内存:修改特征码。 ⒊行为。 现在我来揭开神秘的面纱。(这里不对做深入讨论,只对原理进行分析,毕竟这不是黑客教程) 加花 加花是病毒的常用手段,加花原理就是通过添加加花指令(一些垃圾指令,类似加
用C#和XML轻松创建无需Office的Excel文档
当通过Web应用程序生成和分发Excel文件时,开发者需要确保生成的文件不包含恶意代码,比如宏病毒。因此,对于通过XML创建的Excel文档进行适当的安全审核和测试是非常必要的。 ### 总结 通过C#结合XML创建Excel...
专升本-计算机公共课考点(7)——计算机网络基础
热门推荐
迷雾的博客
08-05 1万+
专升本-计算机公共课考点分析计算机网络基础126. 计算机网络的产生与发展127. 计算机网络的组成128. 计算机网络的功能129. 计算机网络的分类130. 计算机网络系统131. 网络协议132. 网络体系结构133. Internet 基础134. Internet 的 IP 地址及域名135. Internet 的接入方式136. 电子邮件服务137. 网络音乐和网络视频138. 流媒体应用139. 电子公告牌( BBS )140. 搜索引擎141. 万维网(WWW)的基本概念和工作原理142.
dsoframer删除后边的汉字.zip
01-20
5. **错误排查**:如果DSOFramer出现故障,可以尝试重新注册控件,检查Word的宏设置,或者查看系统日志以获取错误信息。 6. **安全考虑**:由于DSOFramer允许执行外部内容,可能会带来安全风险。确保不打开不明来源...
过360云查工具(工具)
03-14
过360云查工具 点击后自动隐藏 有可能被软防火墙误报病毒木马 请关闭软防火墙后重试 给大家分享下 密码 123
VBS加密14法你会几种 VBS加密浅谈
09-05
首先要说的是,VBS是由脚本宿主解释执行的未经编译的明文代码。连exe的加密都十分困难,大家也不必报用VBS挑战软的幻想
打造你的无敌黑器--谈病毒木马的技术
guokeno1--JEFF的技术博客
01-12 1770
前两天一哥们抱怨:鸽子总是被,肉鸡丢的超级快。他建议我去做。我开始也是一头雾水,但是看了别人的几个动画教程,加上自己的一点体会,总算也摸索除了自己的路子。1.加壳 不消我说,最原始的方法,操作简单。但是效果同样一般,我的经验表明,越新出来的壳顶的时间越长(废话),一些老壳几乎没用。现代毒软件都采用了内存扫描技术,脱壳后的毒很快会被,所以这招不是太好用2.加花 一般是在病毒
Office宏病毒Virus.MSExcel.Agent.f的查方法
weixin_34187822的博客
12-03 549
办法如下: 1.下载最新的360毒软件3.1.0.3073版安装; 2、打开360毒的右上角的设置按钮,将设置中“病毒扫描设置中需要扫描的文件类型,改为扫描所有文件”;将“多引擎设置中常规反病毒引擎,设为bitdefender”,点击确定。 3.点击升级为最新病毒库; 4、然后点击病毒扫描中的“OFFICE宏病毒”,开始毒,就能够发现被感染的文件,点击处理,...
xsl 访问其他xml_加载远程XSL文件的宏方法
weixin_39853590的博客
11-27 618
前言打点越来越难了,社工钓鱼会是最常见的攻击手段,0day会是最有效的攻击手段,物理渗透会是危害最大的攻击手段。在钓鱼攻击中木马的形式主要如下:OfficeDLL劫持假冒加固工具木马捆绑通常办公软件Office具有最大的安装量,将文档插入邮件中已经是惯用的工作方式。但是Office常见的攻击方法:0day已知CVE漏洞DDEAUTO注入执行命令宏第一种方法直接跳过,已知的CVE漏洞特征太...
office ole com 查看_Office如何快速进行宏
weixin_39900676的博客
12-17 312
前言Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。Vi...
360毒4.0版Office宏病毒疫体验
黄沙百战穿金甲,不破楼兰终不还。
10-06 2153
现在,很多“办公族”喜欢到网上下载各种Word、Excel、PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带“Office宏病毒”,一旦感染,电脑中的其他文件也可能遭殃,严重性影响日常工作。听说360毒4.0新版具备超强的“Office宏病毒疫”功能,接下来让我们亲自体验一下吧。   与旧版相比360毒4.0新版的“Office宏病毒疫功能开启/关闭按钮被直接设置到了
office钓鱼宏的制作
swordheart的博客
08-04 3389
office钓鱼宏的制作 由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种软,edr,防御手段层出不穷,不会真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office宏进行处理,红队小菜鸡,还望大佬带飞。 通过cobalt strike生成宏payload 1.通过cs生成office宏木马 2.点击 copy macro 复制生成的宏代码 3.新建一个文档,点击 “开发工具 — Visual Basic” 4.双击 “ThisDocument” ,将原有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值