利用MHT类型,免杀宏病毒

最新推荐文章于 2023-10-07 17:02:21 发布
原创 最新推荐文章于 2023-10-07 17:02:21 发布 · 2.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#宏病毒免杀 #免杀 #MHT类型

本文探讨了如何在Word文档中使用宏代码弹出MsgBox,并将文档保存为MHT格式,这一操作使得常见的OLE分析工具无法正确识别文档类型,即使将MHT文件后缀改为DOC,宏代码仍能正常执行。

首先使用Word创建一个利用宏代码弹MsgBox的样本,如下图:
在这里插入图片描述
保存内容后,另存为MHT格式文件
在这里插入图片描述
文件内容如下:
在这里插入图片描述
此时,再使用一些常用的ole分析工具,就识别不了这个类型了,比如正常的word文档可以使用压缩软件查看一些ole内部结构相关的数据
在这里插入图片描述
正常的word文档,使用7z查看
在这里插入图片描述
问题就在,如过把刚刚的2.mht 改成2.doc,完全不影响宏执行

在这里插入图片描述

vsto 宏xlsm文件转化为xlsx文件
nbspzs的专栏
12-03 1649
NewWorkbook.SaveAs(savepath, Excel.XlFileFormat.xlWorkbookDefault, "", "", Type.Missing, Type.Missing, XlSaveAsAccessMode.xlNoChange, 1, false, Type.Missing, Type.Missing, Type.Missing); namespace Microsoft.Office.Interop.Excel { // // 摘要: ..
【病毒分析】Steloj勒索病毒分析
最新发布
solarset的博客
11-18 1299
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
过360云查工具(工具)
03-14
过360云查工具 点击后自动隐藏 有可能被软防火墙误报病毒木马 请关闭软防火墙后重试 给大家分享下 密码 123
360毒4.0版Office宏病毒疫体验
黄沙百战穿金甲,不破楼兰终不还。
10-06 2194
现在,很多“办公族”喜欢到网上下载各种Word、Excel、PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带“Office宏病毒”,一旦感染,电脑中的其他文件也可能遭殃,严重性影响日常工作。听说360毒4.0新版具备超强的“Office宏病毒疫”功能,接下来让我们亲自体验一下吧。   与旧版相比360毒4.0新版的“Office宏病毒疫功能开启/关闭按钮被直接设置到了
对抗-宏
xiaoheizi的博客
10-07 1928
编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs。5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台。4.点击开发工具——新建 宏——任意 宏名——宏的位置(之前新建的word文档)——创建。5.跳转到如下,将cs生成的宏代码写入——点击保存——取消。3.自定义功能区——勾选 开发工具——点击确定。
Cobalt-Strike Office宏利用
weixin_48967543的博客
04-29 1828
1.打开Cobalt-Strike生产Office宏病毒。 首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。 然后使用攻击模块,生产Office宏病毒。 设置好监听器。 生成宏病毒 2.将宏病毒放入word 首先打开Word,在审阅中编辑宏: 创建新的宏: 将生成的宏病毒放入Microsoft Word目录下的ThisDocument,注意如果宏位置写错了很容易报错。 按下Ctrl+S,将文件保存为启用宏的Word文档,注意这里的作者需要修改,否则默认会使用账户名 此时带宏病毒的Wo.
基础三步走之二(PE文件结构).mht
02-23
PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实,如果在纯Windows环境下运行,DOS文件头、DOS加载模块根本是用不上的,加上两个DOS相关的结构完全是为了兼容性问题。 为了方便观察与理解,我们可以通过观察图1大体了解PE文件的结构。
病毒技术-理论篇
lirunling的博客
06-05 2187
现有的病毒技术主要分为三种,其中一种就是行动,通过控制病毒木马的行为来躲过毒软件主动防御检测的目的,而这种行为所用到的处理技术之一就是通过Anti Rookit来使反病毒程序的Rootkit失效,从而不能有效地监测系统;初步过程:目标反病毒软件强度如何?目标反病毒软件有何弱点?目标反病毒软件使用了什么独特的反病毒技术?要怎样才能突破它?待处理的恶意程序是用什么语言编写的?待处理的...
何谓
学习........
09-30 839
3b68c957,顾名思义就是说避毒软件查的方法也有很多种,针对不同的情况我们运用不同的方法。 ⒈文件:加花/修改文件特征码/加壳/修改加壳后的文件。 ⒉内存:修改特征码。 ⒊行为。 现在我来揭开神秘的面纱。(这里不对做深入讨论,只对原理进行分析,毕竟这不是黑客教程) 加花 加花是病毒的常用手段,加花原理就是通过添加加花指令(一些垃圾指令,类似加
用C#和XML轻松创建无需Office的Excel文档
当通过Web应用程序生成和分发Excel文件时,开发者需要确保生成的文件不包含恶意代码,比如宏病毒。因此,对于通过XML创建的Excel文档进行适当的安全审核和测试是非常必要的。 ### 总结 通过C#结合XML创建Excel...
VBS加密14法你会几种 VBS加密浅谈
09-05
首先要说的是,VBS是由脚本宿主解释执行的未经编译的明文代码。连exe的加密都十分困难,大家也不必报用VBS挑战软的幻想
dsoframer删除后边的汉字.zip
01-20
5. **错误排查**:如果DSOFramer出现故障,可以尝试重新注册控件,检查Word的宏设置,或者查看系统日志以获取错误信息。 6. **安全考虑**:由于DSOFramer允许执行外部内容,可能会带来安全风险。确保不打开不明来源...
【题库】计算机二级选择题
未名编程
11-25 2448
计算机二级选择题,包含公共基础知识、计算机基础、Office操作。
打造你的无敌黑器--谈病毒木马的技术
guokeno1--JEFF的技术博客
01-12 1789
前两天一哥们抱怨:鸽子总是被,肉鸡丢的超级快。他建议我去做。我开始也是一头雾水,但是看了别人的几个动画教程,加上自己的一点体会,总算也摸索除了自己的路子。1.加壳 不消我说,最原始的方法,操作简单。但是效果同样一般,我的经验表明,越新出来的壳顶的时间越长(废话),一些老壳几乎没用。现代毒软件都采用了内存扫描技术,脱壳后的毒很快会被,所以这招不是太好用2.加花 一般是在病毒
Office宏病毒Virus.MSExcel.Agent.f的查方法
weixin_34187822的博客
12-03 583
办法如下: 1.下载最新的360毒软件3.1.0.3073版安装; 2、打开360毒的右上角的设置按钮,将设置中“病毒扫描设置中需要扫描的文件类型,改为扫描所有文件”;将“多引擎设置中常规反病毒引擎,设为bitdefender”,点击确定。 3.点击升级为最新病毒库; 4、然后点击病毒扫描中的“OFFICE宏病毒”,开始毒,就能够发现被感染的文件,点击处理,...
xsl 访问其他xml_加载远程XSL文件的宏方法
weixin_39853590的博客
11-27 639
前言打点越来越难了,社工钓鱼会是最常见的攻击手段,0day会是最有效的攻击手段,物理渗透会是危害最大的攻击手段。在钓鱼攻击中木马的形式主要如下:OfficeDLL劫持假冒加固工具木马捆绑通常办公软件Office具有最大的安装量,将文档插入邮件中已经是惯用的工作方式。但是Office常见的攻击方法:0day已知CVE漏洞DDEAUTO注入执行命令宏第一种方法直接跳过,已知的CVE漏洞特征太...
office ole com 查看_Office如何快速进行宏
weixin_39900676的博客
12-17 335
前言Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。Vi...
office钓鱼宏的制作
swordheart的博客
08-04 3515
office钓鱼宏的制作 由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种软,edr,防御手段层出不穷,不会真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office宏进行处理,红队小菜鸡,还望大佬带飞。 通过cobalt strike生成宏payload 1.通过cs生成office宏木马 2.点击 copy macro 复制生成的宏代码 3.新建一个文档,点击 “开发工具 — Visual Basic” 4.双击 “ThisDocument” ,将原有
宏病毒的研究与实例分析01——基础篇
热门推荐
鬼手的博客
03-10 1万+
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
费无病毒的mht转html转换工具下载
通过使用MHT转HTML工具,用户能够轻松地将MHT格式的文件转换为标准的HTML文件,进而利用HTML编辑器进行后续的编辑和使用。 压缩包子文件的文件名称列表提供了软件的组成信息,具体包括: 1. "安装使用说明.txt":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值