Excel4.0宏病毒查看隐藏宏代码

最新推荐文章于 2024-06-28 16:12:25 发布
最新推荐文章于 2024-06-28 16:12:25 发布
阅读量3.3k 收藏 9
点赞数
分类专栏: 宏病毒 文章标签: 宏病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/88658254
版权

样本可用下载地址:https://github.com/InQuest/malware-samples/blob/master/2019-01-15-Mal-Excel-Doc-Macrosheet/98e4695eb06b12221f09956c4ee465ca5b50f20c0a5dc0550cad02d1d7131526

0)常规宏病毒
跟以往的宏病毒不太一样,平时遇到宏病毒,可以按住shift键,点击启用内容

在这里插入图片描述

然后SHIFT+F11,查看宏编辑器,你会发现这里啥宏代码也没有!!!

在这里插入图片描述

此时宏病毒的代码已经运行起来了,可以看到是利用msiexec.exe作为下载者

在这里插入图片描述

1)解决方法

0) 手动找出隐藏的宏
在这里插入图片描述
1) 第二种方法是使用oledump.py工具
参考这篇文章里面的方法,https://isc.sans.edu/forums/diary/Maldoc+Excel+40+Macros/24750/

2)参考链接

http://blog.inquest.net/blog/2019/01/29/Carving-Sneaky-XLM-Files/
https://ti.360.net/blog/articles/excel-macro-technology-to-evade-detection/

FFE4
关注
专栏目录
如何在Excel中更好地隐藏恶意宏代码
systemino的博客
10-11 747
你可能会问,为什么不简单地使用实际上不涉及工作簿的代码,以及主要原因是避免网络流量。当然,你可以简单地添加,这些会将每行代码添加到一个新文件中,以避免网络流量,但是这样做会使活动对于任何分析文档的人来说都是显而易见的,他们会在查看时立即看到新的代码。使用这种方法,它使得对恶意文档的分析稍微困难一些,但是当然不是很多。 注意:仅对文档运行oledump或olevba之类的工具将返回。 此时你会看到,该正在从特定列中提取代码并使用Shell()执行该代码,但该代码显然非常可疑: 而且,如果我们
针对纳税人的NetWire RAT通过旧版Microsoft Excel 4.0 进行传播
systemino的博客
05-21 1057
漏洞介绍 受影响的平台:Windows; 受影响的用户:使用Windows的所有用户; 影响:远程控制受害者的计算机、信息窃取、按键记录器; 严重级别:高; FortiGuard Labs观察到NetWire RAT(远程访问木马)在过去几年中广泛传播。通过分析NetWire样本,NetWire RAT的重点是窃取凭据信息、按键记录和窃取硬件信息(包括硬盘驱动器、网卡和类似组件)。去年,FortiGuard实验室捕获了NetWire RAT变体。 NetWire是一种商业软件应用程序,在http
excel宏病毒专杀
01-04
excel 宏病毒专杀工具 加载入excel,每次打开exce,将自动用该工具杀一次,如有宏病毒将提示,没有则直接打开文件。
excel 隐藏分页表_隐藏Excel
culiao2169的博客
08-18 400
excel 隐藏分页表 隐藏Excel (Hide an Excel Macro)When you add a macro to an Excel workbook, users can see that macro in a list when they choose Tools|Macro|Macros. 当您将添加到Excel工作簿时,用户在选择“工具” |“” |“”时可以在列...
记录处理宏病毒的过程
最新发布
u013930899的博客
06-28 422
以下是堂弟个人电脑中毒的处理过程,作为网络安全从业人员,第一次遇到宏病毒,以前只是听过过这种病毒,从未见过。
excel 隐藏分页表_隐藏没有的表详细信息
culiao2169的博客
08-16 285
excel 隐藏分页表 隐藏没有的表详细信息 (Hide Table Details With No Macros) Last week, I was preparing reports for a client, and needed to find a quick and easy way to show or hide details in a long list. After ...
【首发】'k4' 宏病毒专杀 原创新型excel宏病毒专杀工具
Tao2581 日常小记
08-25 1万+
近日公司大量excel发现一种office宏病毒,使用360 金山 等等均不能查杀,  下载金山版的宏病毒专杀 只杀了一部分,另一种类型的宏病毒无论如何也杀不掉。 发作症状如图: office宏病毒专杀工具下载:http://download.csdn.net/detail/tao2581/4524743 搜索资料这种宏病毒称为k4宏病毒, 众多杀毒软件都无法查找可能在杀软看来这不是什么
excel宏病毒
10-10
该“宏病毒专杀免疫工具v4.0”可能是这样的工具,能够深度扫描Excel文件中的恶意。 3. **手动检查**:对于某些顽固的病毒,可能需要手动检查可疑文件。这包括打开文件后查看VBA(Visual Basic for Applications)...
常见的钓鱼招式,可千万别入坑哦
HBohan的博客
10-19 420
OFFICE 【查看资料】 Office安全保护机制 受保护的视图 为了保护计算机不受office病毒侵害,微软设计了一个收保护视图,将所有可疑的office文件以只读方式打开,在该模式下多数编辑功能被禁用。文件呗以受保护视图打开的情况有如下几种 文件是从 Internet 位置打开的 文件是通过 Outlook 附件的方式接收的,并且计算机策略将发件人定义为不安全 文件是从不安全的位置打开的 文件被文件块阻止 文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDr.
中国地区2012年第二季度 网络安全威胁报告
亚信安全-云安全博客
07-27 6811
2012年第2季度安全威胁 本季安全警示:   宏病毒,PE病毒,漏洞,钓鱼 2012年第2季度安全威胁概况   本季度趋势科技中国区病毒码新增特征约59万条。截止2012.6.30日中国区传统病毒码9.224.60包含病毒特征数约400万条。     本季度趋势科技在中国地区客户终端检测并拦截恶意程序约8420万次。     本季度趋势科技在中国地区发现并拦截新的恶意URL地址
网管教程+从入门到精通软件篇
热门推荐
mvcgo的专栏
12-06 1万+
★一。★详细的xp修复控制台命令和用法!!!  放入xp(2000)的光盘,安装时候选R,修复!  Windows XP(包括 Windows 2000)的控制台命令是在系统出现一些意外情况下的一种非常有效的诊断和测试以及恢复系统功能的工具。小编的确一直都想把这方面的命令做个总结,这次辛苦老范给我们整理了这份实用的秘笈。    Bootcfg    bootcfg 命令启动配置和故障恢复(
EXCELntDonut:Excel 4.0(XLM)生成器,用于将DLL和EXE注入内存
03-19
_______ ______ _____ _ _ ____ _ | ____\ \/ / ___| ____| | _ __ | |_| _ \ ___ _ __ _ _| |_ | _| \ / | | _| | | | '_ \| __| | | |/ _ \| '_ \| | | | __| | |___ / \ |___| |___| |___| | | | |_| |_| | (_) | | | | |_| | |_ |_____/_/\_\____|_____|_____|_| |_|\__|____/ \___/|_| |_|\__,_|\__| by @JoeLeonJr (@FortyNorthSec)
Excel 4.0 Macro 规范
04-17
Microsoft很早就使用VBA(Visual Basic for Applications)来代替Excel 4.0技术,这导致Excel 4.0并不为大众所熟知。并且Excel 4.0存放在Excel 97 - 2003格式(.xls)文件中。
excel 批量显示所有隐藏的sheet
Angelia222的专栏
12-08 6603
显示隐藏工作表的操作:按ALT+F11,点击插入菜单中的模块,在右边的代码输入框中输入如下代码,再按F5键即可全部显示。Sub KDK()For Each AA In SheetsAA.Visible = TrueNextEnd Sub
excel宏病毒专杀方法
少年休闲海
07-05 4720
一般的excel宏病毒其余也没有想象中的可怕,借助代码可以彻底清除excel宏病毒,而不需要使用excel宏病毒专杀工具来解决。   同事的excel文件,传到我的电脑上打开一次后,整个ECCEL文件一打开自动会在里有一模板,生成一个文件,文件名startup。如何清除excel宏病毒呢,在网上看了一些excel宏病毒专杀工具,都不怎么好用,最后通过下面的代码清除了excel宏病毒。 ex
宏病毒分析
mez_Blog的博客
05-06 4680
1.实训目的掌握宏病毒的制作方法2.实训环境PC、Windows 8、Windows 7、Windows xp等操作系统,office办公软件3.实训内容制作宏病毒,并运行分析。具体实训步骤如下:(1)启动word,创建一个新文档(2)在新文档中打开工具菜单、选择查看(3)为起一个名字,自动的名字规定必须为autoexec(4)单击创建按钮(5)在宏代码编辑窗口,输入VB代码Shell(...
恶意代码实验3:Word宏病毒实验
qq_63949327的博客
11-21 2148
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的编辑器如图所示,即可编写病毒代码
宏病毒分析要点
weixin_42539095的博客
12-26 555
练习过一些宏病毒,总结一些最基本的方法 一.查看 提示启用内容,选择启用 Alt+F11即可查看宏代码 二.加密 部分加了密码 可以用如下工具破解 三.快速查找关键语句 大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来 选择左侧点击即可下断 然后运行 本地窗口查看,调试 添加监视即可看到关键部...
脚本/宏病毒
flowerxxxxx的博客
06-30 676
一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。(3)用Win Hex分别打开notepad.exe和notepad_upx.exe文件(2分),再比较PE头部分,用语言描述有什么不同。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置的安全性;(3)描述清除病毒及加固的方法;(注:直接答在该题下面)(5分)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值