office文档病毒分析整体思路

最新推荐文章于 2024-05-06 17:44:19 发布
最新推荐文章于 2024-05-06 17:44:19 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 解决方案 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45844442/article/details/127841897
版权

最近在分析office相关病毒样本时,发现此类样本除VBA宏以外还有诸多其它可以利用的地方,在找了很久以后发现微步在线有一篇文章对此类进行了详细的归纳,以下是链接地址 《Office 文档投毒已成为一种流行攻击趋势,谨防中招!

对于文章提到的几种利用方法,我总结了几点如下:

1.打开office文档时,看看加载页面是否有相关下载连接服务器等字眼,如果出现则说明利用的远程注入,直接以压缩包方式打开该文档到/word/_rels/settings.xml.rels 这个文件中查看相应的连接地址
在这里插入图片描述

2.进入文档后看看是否有提示说启用宏或者启用应用程序等字眼,有该提示说明有宏文件或者DDE命令,直接去宏编辑器查看宏命令,将 设置选项->视图->域代码 打开即可在文档页面查看到该DDE命令在这里插入图片描述

3.对于有密码的宏文档使用oletools 或者使用 VBA_Password_Bypasser进行解密查看

4.对于有些隐藏了VBA宏,使用OleTools(个人感觉这个更好用)、Oledump、Pcodedmp进行查看

5.对于VBA工程锁定不可查看这种情况,可以试着使用EvilClippy工具进行解除锁定,命令如下

EvilClippy -uu 目标文件
mi-key
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Office文档加密工具使用视频教程
06-19
可以加密多种文档格式,比如excel,word,ppt,pptx等等office文档格式加密, 加密后的文档可以一机一码授权,保护外发文档,绑定用户电脑阅读、防扩散; 用户需要得到您授权的开启密码后才可以打开,您可以为用户创建开启密码,开启密码与用户的电脑硬件绑定,用户无法传播开启密码; 加密后的文件可以刻盘、提供网络下载和通过U盘等分发;您可以控制各种个性化的授权功能,比如:是否允许用户打印文档、是否允许用户修改文档等等。 主要功能包括: 1、可以采用一码通授权,同一台电脑上只需要一个开启密码,也可以采用不同文档不同授权; 2、可以指定开启密码,不需要知道用户机器码; 3、可以控制是否允许用户打印加密后的文档; 4、可以控制是否允许用户编辑修改加密后的文档,修改后的文档依然是加密的; 5、可以为加密后的文件设置个性化的图标 6、可以设置黑名单功能,加密后的文件打开时禁止某些软件的运行; 7、可以控制加密后的文件打开次数、有效期等;
office病毒分析
CMC_HHM的博客
03-25 1931
1、样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备 在linux平台下安装 安装依赖包 wget...
Office病毒专杀EXCEL宏病毒专杀
05-28
Office病毒专杀工具,EXCEL宏病毒专杀工具,WORD宏病毒专杀工具,如果中了EXCEL宏病毒的同学可以杀下,效果还可以
office病毒专杀
03-07
用于解决office(word,excel)安全模式等,病毒专用工具,专杀office病毒
qt开发office文档编辑器思路
06-11
跟网上的一个qt网课班的老师要的,估计不咋样
office病毒分析从0到1
abelxu
06-28 2014
一、office文件格式 office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本。 Office2007之前的版本为OLE复合格式:doc,dot,xls,xlt,pot,ppt Office2007之后的版本为OpenXML格式:docx,docm,dotx,xlsx,xlsm,xltx,potx 1.OLE复合格式(Object Linking and Embedding Data Structures) 复合文档不仅包含文本,而且包括图形、电子数据表格、声音
OfficeMalScanner(宏病毒分析)软件分享,绝对免费!
ntrybw的博客
10-13 655
链接:https://pan.baidu.com/s/1dbW75x77mQ09NUeR5ETN6A?--来自百度网盘超级会员V3的分享。强烈支持软件免费分享!
MSF利用宏病毒感染word文档获取shell复现
永远是少年
06-14 1970
今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF利用宏病毒感染word文档获取shell复现。 一、环境准备 二、宏文档生成 三、效果检验
excel宏病毒专杀方法
少年休闲海
07-05 4421
一般的excel宏病毒其余也没有想象中的可怕,借助代码可以彻底清除excel宏病毒,而不需要使用excel宏病毒专杀工具来解决。   同事的excel文件,传到我的电脑上打开一次后,整个ECCEL文件一打开自动会在宏里有一模板,生成一个宏文件,文件名startup。如何清除excel宏病毒呢,在网上看了一些excel宏病毒专杀工具,都不怎么好用,最后通过下面的代码清除了excel宏病毒。 ex
Office Macro
这个博客,写给十年后的自己......
06-10 833
弹出窗口脚本 工具 -> 宏 -> VB编辑器 左侧Normal中,右侧选择Document,Open Private Sub Document_Open() MsgBox("hello") End Sub宏病毒 整理中, 可能会忘掉
安卓预览Office文档
03-26
安卓预览Office文档,TBS+AgentWeb+pdfjs(需后端配合)+系统能力
OFFICE病毒专杀
02-12
OFFICE病毒专杀工具,一键式,可以查杀各种病毒恶意程序
Office病毒清除免疫工具
02-18
清除电脑中的宏病毒; 阻止宏病毒在文件之间感染;
onlyoffice展示在线文档
08-14
使用Java程序编写,传入在线文档的url,调用onlyoffice展示在线文档。压缩包中只包含代码,不包含onlyoffice的部署步骤。建议onlyoffice使用Docker部署。
安全配置核查关注点
m0_62207482的博客
05-06 197
防火墙对UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置防火墙,只允许特定主机访问。- 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制,检查口令生存周期要求。- 配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。- 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。- 检查是否配置NFS服务限制检查。
合规基线:让安全大检查更顺利
a38417的博客
04-29 1089
德迅基线产品还支持自定义基线功能,企业可根据实际的使用场景,自行定义基线的检查项,如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等,以满足企业多样化的内部监管要求。但是在有限的安全人员、参差不齐的安全技术水平面前,迫切需要能够辅助安全检查与自评估的自动化、标准化的基线检查工具,并且能够支持多种类型的主机、数据库、应用系统等安全基线信息的采集与检测工作。,进行实时安全核查,快速发现安全配置变化,一旦发生安全配置变更异常,以邮件方式进行安全告警。相对于其他同等产品优势,
网络安全实训Day16
Yisitelz的博客
04-26 2035
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
Ftrans文件外发系统 构建安全可控文件外发流程
文件数据安全交换
04-29 849
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
Lianwei 安全周报|2024.05.06
最新发布
联蔚盘云的博客
05-06 406
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
office文档校对
09-07
Office文档校对是指通过使用Office软件中的校对功能来检查文档中的拼写和语法错误。在Word 2013中,您可以通过校对面板或状态栏上的校对图标来访问校对功能。校对面板显示在Word窗口底部,您可以通过单击状态栏上的书本图标或在校对错误消息上单击来打开它。请注意,Word的语法检查功能是有限的,可能无法识别所有的语法错误。因此,在分发文档之前,建议您仔细阅读文档以确保其准确性。 如果您在使用Office时无法找到校对功能,您可以通过以下步骤来添加校对工具: 1. 找到您的Office安装源的ISO镜像文件。 2. 双击镜像文件中的setup.exe来启动安装程序。 3. 选择“添加或删除功能”并点击“下一步”。 4. 展开“Office共享功能项”,找到“校对工具”并点击下拉箭头。 5. 选择“从本机运行全部程序”并点击“确定”。 6. 点击“继续”,等待一两分钟即可完成添加校对工具的过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值