Excel4.0宏病毒查看隐藏宏代码

最新推荐文章于 2023-11-21 16:15:03 发布
最新推荐文章于 2023-11-21 16:15:03 发布
阅读量3.3k 收藏 9
点赞数
分类专栏: 宏病毒 文章标签: 宏病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/88658254
版权

样本可用下载地址:https://github.com/InQuest/malware-samples/blob/master/2019-01-15-Mal-Excel-Doc-Macrosheet/98e4695eb06b12221f09956c4ee465ca5b50f20c0a5dc0550cad02d1d7131526

0)常规宏病毒
跟以往的宏病毒不太一样,平时遇到宏病毒,可以按住shift键,点击启用内容

在这里插入图片描述

然后SHIFT+F11,查看宏编辑器,你会发现这里啥宏代码也没有!!!

在这里插入图片描述

此时宏病毒的代码已经运行起来了,可以看到是利用msiexec.exe作为下载者

在这里插入图片描述

1)解决方法

0) 手动找出隐藏的宏
在这里插入图片描述
1) 第二种方法是使用oledump.py工具
参考这篇文章里面的方法,https://isc.sans.edu/forums/diary/Maldoc+Excel+40+Macros/24750/

2)参考链接

http://blog.inquest.net/blog/2019/01/29/Carving-Sneaky-XLM-Files/
https://ti.360.net/blog/articles/excel-macro-technology-to-evade-detection/

FFE4
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在Excel中更好地隐藏恶意宏代码
systemino的博客
10-11 744
你可能会问,为什么不简单地使用实际上不涉及工作簿的代码,以及主要原因是避免网络流量。当然,你可以简单地添加,这些会将每行代码添加到一个新文件中,以避免网络流量,但是这样做会使活动对于任何分析文档的人来说都是显而易见的,他们会在查看时立即看到新的代码。使用这种方法,它使得对恶意文档的分析稍微困难一些,但是当然不是很多。 注意:仅对文档运行oledump或olevba之类的工具将返回。 此时你会看到,该正在从特定列中提取代码并使用Shell()执行该代码,但该代码显然非常可疑: 而且,如果我们
针对纳税人的NetWire RAT通过旧版Microsoft Excel 4.0 进行传播
systemino的博客
05-21 1056
漏洞介绍 受影响的平台:Windows; 受影响的用户:使用Windows的所有用户; 影响:远程控制受害者的计算机、信息窃取、按键记录器; 严重级别:高; FortiGuard Labs观察到NetWire RAT(远程访问木马)在过去几年中广泛传播。通过分析NetWire样本,NetWire RAT的重点是窃取凭据信息、按键记录和窃取硬件信息(包括硬盘驱动器、网卡和类似组件)。去年,FortiGuard实验室捕获了NetWire RAT变体。 NetWire是一种商业软件应用程序,在http
excel宏病毒专杀
01-04
excel 宏病毒专杀工具 加载入excel,每次打开exce,将自动用该工具杀一次,如有宏病毒将提示,没有则直接打开文件。
excel 隐藏分页表_隐藏Excel
culiao2169的博客
08-18 400
excel 隐藏分页表 隐藏Excel (Hide an Excel Macro)When you add a macro to an Excel workbook, users can see that macro in a list when they choose Tools|Macro|Macros. 当您将添加到Excel工作簿时,用户在选择“工具” |“” |“”时可以在列...
excel 隐藏分页表_隐藏没有的表详细信息
culiao2169的博客
08-16 285
excel 隐藏分页表 隐藏没有的表详细信息 (Hide Table Details With No Macros) Last week, I was preparing reports for a client, and needed to find a quick and easy way to show or hide details in a long list. After ...
【首发】'k4' 宏病毒专杀 原创新型excel宏病毒专杀工具
Tao2581 日常小记
08-25 1万+
近日公司大量excel发现一种office宏病毒,使用360 金山 等等均不能查杀,  下载金山版的宏病毒专杀 只杀了一部分,另一种类型的宏病毒无论如何也杀不掉。 发作症状如图: office宏病毒专杀工具下载:http://download.csdn.net/detail/tao2581/4524743 搜索资料这种宏病毒称为k4宏病毒, 众多杀毒软件都无法查找可能在杀软看来这不是什么
excel宏病毒
10-10
该“宏病毒专杀免疫工具v4.0”可能是这样的工具,能够深度扫描Excel文件中的恶意。 3. **手动检查**:对于某些顽固的病毒,可能需要手动检查可疑文件。这包括打开文件后查看VBA(Visual Basic for Applications)...
常见的钓鱼招式,可千万别入坑哦
HBohan的博客
10-19 415
OFFICE 【查看资料】 Office安全保护机制 受保护的视图 为了保护计算机不受office病毒侵害,微软设计了一个收保护视图,将所有可疑的office文件以只读方式打开,在该模式下多数编辑功能被禁用。文件呗以受保护视图打开的情况有如下几种 文件是从 Internet 位置打开的 文件是通过 Outlook 附件的方式接收的,并且计算机策略将发件人定义为不安全 文件是从不安全的位置打开的 文件被文件块阻止 文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDr.
中国地区2012年第二季度 网络安全威胁报告
亚信安全-云安全博客
07-27 6806
2012年第2季度安全威胁 本季安全警示:   宏病毒,PE病毒,漏洞,钓鱼 2012年第2季度安全威胁概况   本季度趋势科技中国区病毒码新增特征约59万条。截止2012.6.30日中国区传统病毒码9.224.60包含病毒特征数约400万条。     本季度趋势科技在中国地区客户终端检测并拦截恶意程序约8420万次。     本季度趋势科技在中国地区发现并拦截新的恶意URL地址
网管教程+从入门到精通软件篇
热门推荐
mvcgo的专栏
12-06 1万+
★一。★详细的xp修复控制台命令和用法!!!  放入xp(2000)的光盘,安装时候选R,修复!  Windows XP(包括 Windows 2000)的控制台命令是在系统出现一些意外情况下的一种非常有效的诊断和测试以及恢复系统功能的工具。小编的确一直都想把这方面的命令做个总结,这次辛苦老范给我们整理了这份实用的秘笈。    Bootcfg    bootcfg 命令启动配置和故障恢复(
EXCELntDonut:Excel 4.0(XLM)生成器,用于将DLL和EXE注入内存
03-19
_______ ______ _____ _ _ ____ _ | ____\ \/ / ___| ____| | _ __ | |_| _ \ ___ _ __ _ _| |_ | _| \ / | | _| | | | '_ \| __| | | |/ _ \| '_ \| | | | __| | |___ / \ |___| |___| |___| | | | |_| |_| | (_) | | | | |_| | |_ |_____/_/\_\____|_____|_____|_| |_|\__|____/ \___/|_| |_|\__,_|\__| by @JoeLeonJr (@FortyNorthSec)
excel 批量显示所有隐藏的sheet
Angelia222的专栏
12-08 6590
显示隐藏工作表的操作:按ALT+F11,点击插入菜单中的模块,在右边的代码输入框中输入如下代码,再按F5键即可全部显示。Sub KDK()For Each AA In SheetsAA.Visible = TrueNextEnd Sub
宏病毒分析
mez_Blog的博客
05-06 4673
1.实训目的掌握宏病毒的制作方法2.实训环境PC、Windows 8、Windows 7、Windows xp等操作系统,office办公软件3.实训内容制作宏病毒,并运行分析。具体实训步骤如下:(1)启动word,创建一个新文档(2)在新文档中打开工具菜单、选择查看(3)为起一个名字,自动的名字规定必须为autoexec(4)单击创建按钮(5)在宏代码编辑窗口,输入VB代码Shell(...
恶意代码实验3:Word宏病毒实验
最新发布
qq_63949327的博客
11-21 2004
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的编辑器如图所示,即可编写病毒代码
宏病毒分析要点
weixin_42539095的博客
12-26 553
练习过一些宏病毒,总结一些最基本的方法 一.查看 提示启用内容,选择启用 Alt+F11即可查看宏代码 二.加密 部分加了密码 可以用如下工具破解 三.快速查找关键语句 大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来 选择左侧点击即可下断 然后运行 本地窗口查看,调试 添加监视即可看到关键部...
office 宏病毒分析
CMC_HHM的博客
03-25 2039
1、样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备 在linux平台下安装 安装依赖包 wget...
【Office】解决Excel关闭Personal工作簿导致不见的情况
大白的求知路
03-02 1万+
问题: Excel想要编辑或者删除,都要先取消隐藏这个PERSONAL的工作簿 今天取消隐藏之后,顺手就关掉了,然后就发现自己保存的不见了 解决: 找出文件PERSONAL.XLSB并重新打开即可 解决过程: 在网上找了一番,大概是因为我把保存到个人工作簿中(就是PERSONAL.XLSB) 然后,实际上,我们打开Excel的时候也会同时在隐藏中打开PERSONAL.XLSB和...
简单读取带有EXCEL宏病毒文件的内容
驽马十驾 才定不舍
09-24 4401
简单读取带有EXCEL宏病毒文件的内容 作者:iamlaosong        我们有时会碰到带有EXCEL宏病毒的文件,这些文件往往是别人发给自己的有用的文件,当我们安全性设为“高”或“非常高”时,这些文件打不开,提示我们将安全性设为“中”,一旦设为“中”,打开文件时,就会提示,是否执行,如果禁止,同样打不开,因为病毒往往都是不能禁止的,此时,如果启用,就中毒了。所以,对于带有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值