EXCELntDonut:一款强大的Excel 4.0宏生成工具
Excel 4.0 宏(XLM)是一种在Excel中执行自动化任务的脚本语言。EXCELntDonut 是一个开源项目,旨在帮助开发者生成能够在内存中注入DLL和EXE的XLM宏。该项目主要使用C#和Python编程语言开发。
项目基础介绍
EXCELntDonut 是由 @JoeLeonJr (@FortyNorthSec) 开发的一个开源项目,它可以将C#源代码转换为XLM宏。用户提供的C#文件包含payload(例如,一个执行Cobalt Strike beacon payload的EXE主方法),项目通过编译这些文件生成.NET汇编代码,再利用工具Donut和CLRvoyance将汇编代码转换为位置无关的shellcode。之后,该工具会去除所有null字节,并将payload分割成小于255字符(x86)或10字符(x64)的行。生成的宏包含基本的进程注入功能,如VirtualAlloc、WriteProcessMemory和CreateThread,以及用于确定在目标系统上运行x86还是x64 payload的架构检查功能。
核心功能
- 将C#源代码转换为Excel 4.0宏。
- 在内存中注入DLL和EXE。
- 提供基本的沙箱检查功能。
- 支持宏混淆,增加静态分析难度。
- 支持生成适用于x86和x64架构的宏。
最近更新的功能
根据项目的最新提交,最近更新的功能包括:
- 代码优化和错误修复,提高了项目的稳定性和可靠性。
- 添加了新的沙箱检查,增强了宏对抗沙箱环境的能力。
- 对混淆机制进行了改进,使得生成的宏更难以被安全分析师静态分析。
以上是EXCELntDonut项目的基础介绍和最近更新的功能概览。作为一个开源项目,它为安全研究者和开发人员提供了一个有价值的工具,用于探索和实验Excel宏的安全性。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
