宏混淆工具
Macro_Pack是一个用于自动化混淆及生成Office文档、VB脚本、快捷方式等文件的工具,其主要用于渗透测试、demo以及社会工程学评估。macro_pack的目标是简化利用流程,反恶意软件绕过,并自动化实现从vba生成到最终Office文档生成的过程。
Github:https://github.com/sevagas/macro_pack。
Macro_Pack分为专业模式和普通模式,专业模式包含了更多的混淆手段,但源码现在并未公开出来。普通模式的混淆手段包括“名称混淆”、“字符串混淆”以及“格式混淆”。
如下为混淆执行流程,普通模式只会执行”ObfuscateNames”、”ObfuscateStrings”以及”ObfuscateForm”;而专业模式还会执行”AvBypass”、”UACBypass”等,通过函数名猜测其应该为杀软绕过、UAC绕过等功能,可以看出专业模式确实很强大且过于“武器化”,作者也是出于这方面考虑才没有公开。
名称混淆
通过关键字的正则匹配,查找出保留函数以外的自定义过程(Sub)及函数(Function)名称,并保