检测office的恶意vba脚本(宏病毒)——mraptor

最新推荐文章于 2024-09-10 11:03:26 发布
原创 最新推荐文章于 2024-09-10 11:03:26 发布 · 2.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

mraptor是oletools工具集的一部分,用于扫描Office文件中的恶意VBA脚本。本文介绍了mraptor的基本使用方法,并展示了如何通过正则表达式和文件层次结构来检测OLE文件中的恶意宏。

检测office的恶意vba脚本(宏病毒)——mraptor

mraptor 是 oletools 工具集中的一个,用于 扫描一个文件中是否存在可疑的 vba 脚本,也就是宏病毒。

在进入代码之前,我们先来看下mraptor的简单使用

mraptor的使用

这里只演示扫描单个文件,mraptor 还可以遍历检测 文件夹啊和压缩包

[root@master ~]# mraptor 1.doc 
​
MacroRaptor 0.55 - http://decalage.info/python/oletools
This is work in progress, please report issues at https://github.com/decalage2/oletools/issues
----------+-----+----+--------------------------------------------------------
Result    |Flags|Type|File                                                    
----------+-----+----+--------------------------------------------------------
SUSPICIOUS|A-X  |OLE:|1.doc                                                   
​
Flags: A=AutoExec, W=Write, X=Execute
Exit code: 20 - SUSPICIOUS

 

恶意macros如何判断

在看完简单的使用之后,我们开始进入代码,看看是如何提取并检测宏是否恶意的

这里对代码进行了简化,仅保留主流程部分:

# 解析 vba
vba_parser = olevba.VBA_Parser(filename, data, container)
        # 检测是否存在 macros
        if vba_parser.detect_vba_macros():
            vba_code_all_modules = ''
   &n
最低0.47元/天 解锁文章
Office恶意脚本技术研究
不忘初心,护天下安全!
05-15 780
非PE的间接文件:A、基于宏(类型III:Offic文档、PDF文档)
使用latex生成DVI文件
与书与你的博客
05-20 7339
论文在投稿的时候,提交camera ready版本的时候,往往需要提交latex的所有源文件,包括各种中间文件,那么DVI文件也是需要的。而我们用pdflatex是只能生成PDF文件,而无法生成DVI文件。按照网上的方法,就是在CMD下,使用命令来生成DVI文件。具体步骤如下: 使用win+r,进入到CMD 使用CD,切换到你的tex文件所在路径 使用命令“latex XXX.tex",生成DVI文件,这里的XXX为你的文件名字 因为论文投稿往往是需要添加矢量图的,而用Visio画的图,不能生成eps
VBA一招解决宏病毒
qq_17771109的博客
12-29 3057
VBA一招解决宏病毒 工作中,看见许多小伙伴被Excel中宏病毒折腾的无可奈何,因为要使用VBA代码,所以默默的忍受着宏病毒带来的不快。比如:关闭了Excel后,还有一个空白的页面需要关闭,比如每次换一个Excel页面,都有弹一个窗口说“XX找不到”等等,我们的Excel文件中充斥着各种各种不威胁表格数据存储但是很烦人的宏病毒,今天教大家设置以下即可永久解决宏病毒问题。 解决思路 一、宏设置 Excel选项——信任中心——信任中心设置——宏设置中有个选项,禁用无数字签署的所有宏,如下图:设置完成后保存关闭文
VBA病毒“制造机”正在流行
信息安全
08-26 1718
1、威胁概述 最近,安天CERT(安全研究与应急处理中心)的安全研究人员意外发现了一个用于生成宏病毒的生成器。生成器根据用户配置可以生成在微软Word和Excel执行的恶意宏文件。生成器采取.net平台编写,用大量混淆方法和加密措施来进行反逆向行为。而生成器生成的宏病毒代码同样采取了混淆函数名和加密函数参数等方式来反杀毒软件。经证明其反杀毒能力很强,几乎目前所有产品均无法检测
ctex中dvi格式_Latex中的文件类型
weixin_39873208的博客
12-21 685
本文概述文件类型Latex的文件大小通常小于Word文档文件。使用的默认扩展名是.tex, 我们可以使用记事本或Simpletext编辑器进行编辑。 Latex文件包含文本以及用于编写文本和用于格式化文档的公式的命令。MiKTeX被广泛用于实现Latex。对于UNIX, 你可以下载Latex本身。 OzTeXT用于Macintosh(Apple Inc.生产和销售的PC系列)上。当LaTeX处理a...
脚本病毒分析扫描专题1-VBA代码阅读扫盲、宏病毒分析
weixin_30593261的博客
03-24 649
1、Office Macor MS office宏的编程语言是Visual Basic For Applications(VBA)。 微软在1994年发行的Excel5.0版本中,即具备了VBA的宏功能。开发目的是为了在其桌面应用程序中执行通用的自动化任务,用于扩展Windows的应用程序功能。在分析带有宏病毒的样本前,我们需要对VBA有所了解。才能更顺畅地了解病毒发展中的手段和变化。 ...
宏病毒检测问题
doomleo的专栏
06-05 3513
宏病毒检测问题 Vesselin Bontchev 译者 DoomLeo         用流行的办公室应用程序(如 MICROSOFT WORD)里的宏编程语言编写的病毒变的非常的普遍。和只有一个实体的MS—DOS病毒不同,宏病毒通常由一整套数个独立的宏组成。这引起了特定病毒的反病毒软件试图准确识别这个病毒时产生的一些有趣的理论问题。两个病毒的宏集能拥有相同的子集----或者一个宏
通用的 Excel 高级数据处理 VBA脚本
最新发布
12-15
1.CleanData:清理选区数据(去掉前后空格、替换多空格、统一文本格式) 2.RemoveBlankAndDup:删除空行,并按指定列去重 3.GroupSumToNewSheet:按某一列分组,对另一列求和,输出到新工作表(类似简单数据透视)...
恶意Office文档检测——OfficeMalScanner
04-01
恶意Office文档检测——OfficeMalScanner】 在网络安全领域,恶意Office文档已经成为黑客传播恶意软件的主要途径之一。这些文档通常利用用户对Office软件的信任,通过嵌入宏或利用漏洞来执行恶意代码。为了应对这...
EXCEL VBA 控件常规使用——窗体控件介绍
08-02
EXCEL VBA 控件常规使用——窗体控件介绍 在 Excel VBA 中,控件是指在 UserForm 中使用的各种对象,例如按钮、文本框、列表框等。这些控件可以在 UserForm 中进行布局和设计,以便在实际应用中使用。本文将介绍 ...
如何调试Word宏病毒,以及使用VS调试VB脚本
Sven的忘却日记
11-08 3763
一般Word被嵌入了带有恶意行为的宏代码VBA代码),当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。或者有的word默认是禁止宏运行,会弹出一个提示,是否允许运行携带的宏代码。 上面是一个11月份的比较新的,针对银行的木马,主要通过垃圾邮件附件的方式传播,以Word宏作为病毒载体。 我使用的是Office2013默认禁止运行宏。但是邮件的内容是诱导用户去点击那个"启动内容"...
Latex --> dvi文件 --> pdf文件
qq_45793102的博客
05-09 2647
传统的方法:先生成dvi,在生成pdf。 直接在winEdt中点击最下方的Windows Command Prompt, 否则从cmd进入命令行的话,还要进入tex文件夹,好麻烦。 1、tex——dvi 命令:latex XX.tex 其中,XX为编辑文件名 2、dvi——pdf 命令:dvipdfm XX.dvi ...
1_VBA_POWERSHELL病毒分析
leibso的博客
03-17 2205
文章目录分析VBA_PS脚本: 样本信息: MD5 0bf87fd5ff555a5f0fc94b5e36f0d4ff 文件名称 0bf87fd5ff555a5f0fc94b5e36f0d4ff.doc 文件类型 Word文档 分析VBA_PS脚本: 原混淆代码: Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds A...
宏病毒的研究与实例分析03——宏病毒处理篇
鬼手的博客
03-11 3946
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明 在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒宏病毒处理思路 破坏宏标志 在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...
什么事宏病毒宏病毒的判断方法 ,宏病毒的防治和清除
weixin_34034670的博客
02-08 989
宏可以做什么 所有你想同时完成的事情都可以让宏来一次完成,并且所有会不断重复的命令(比如说话或其他动作)都可以事先宏里面定义好 1、什么是宏? 宏是微软公司为其OFFICE软件包设计的一个特殊功能,目的是让用户文档中的一些任务自动化。OFFICE中的WORD和EXEAL都有宏。在下面的讨论中我们以WORD为例。 如果在Word中重复进行某...
excel提示宏病毒处理
热门推荐
YJlio的博客
09-10 5万+
excel提示宏病毒如何解决?
Word宏病毒
hxxjxw的博客
04-24 8347
宏病毒就是Word中被嵌入的带有恶意行为的宏代码VBA代码),当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行 1、自动运行的宏 通过为一个宏赋予某个特殊的名称,就可在执行某项操作(例如启动 Word 或打开文档)时自动运行宏。 Word 将下列名称识别为自动宏,或称“auto”宏。 AutoExec:启动 Word 或加载全局模板时 AutoNew...
ctex中dvi格式_常见的HDMI与DVI视频线类型
weixin_36325615的博客
12-31 457
日常生活中,各种视频丰富大家的生活,哪么哪些是日常的4k、2k超高清接口呢,下面跟随小编一起了解吧。一、HDMI高清晰度多媒体接口(英文:High Definition Multimedia Interface,)是一种数字化视频/音频接口技术,是适合影像传输的专用型数字化接口,其可同时传送音频和影像信号,最高数据传输速度为4.5GB/s同时无需在信号传送前进行数/模或者模/数转换。HDMI可搭配...
论文提交camera ready事宜【dvi文件生成】
qq_41581765的博客
06-11 1658
后记,其实在overleaf或者tex studio生成pdf文件没问题后,用步骤2的方法生成dvi文件即可,也可以不用预览dvi文件。我是想预览一下没问题,再准备提交,这样比较放心。起初我使用tex live带的dvi预览器(dviout.exe),发现出现下面报错,具体原因我也不清楚。于是,我又下载了tex maker,他的左上角可以选择dvi预览,加载成功eps图片后,基本没有问题了。使用编辑器里的工具自动生成,如图为tex studio。使用编辑器里的工具自动生成,如图为tex maker。
金山新版office_excel宏病毒专杀工具
宏病毒是一种恶意软件,通常隐藏在Microsoft Office文档中的宏编程语言里,一旦用户打开带宏的文档,宏病毒就会自动执行,对用户的计算机系统进行破坏。宏病毒主要影响的文档类型是Word和Excel文件,因此它们也被...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值