使用github开源工具EvilClippy进行宏病毒混淆免杀:https://github.com/outflanknl/EvilClippy/releases

注意需要将这两个文件下载在同一个文件夹下,不要只下载EvilClippy.exe而忘记下载OpenMcdf.dll:

关于evilClippy,有:

EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。当前版本的EvilClippy支持在Linux、macOS和Windows平台上运行,实现了跨平台特性。

但是笔者在测试的时候,混淆后的恶意Word文件,目标电脑下载并启用宏后,除非电脑上没有杀毒软件,不然执行的时候都会被隔离并挂起删除,不管是火绒还是Windows自带的杀毒软件。

简单使用evilClippy生成一个混淆后的含有宏病毒的Word

先将CS生成的宏病毒代码粘贴到WORD中,具体步骤为:https://www.cnblogs.com/Cl0ud/p/13824021.html

但是在另存为的时候,存储需要选择:

即Word 97-2003文档(*.doc),因为evilClippy貌似只能对该版本范围内的Word宏病毒进行混淆。

使用 -s参数通过假的vba代码插入到模块中,用以混淆杀毒程序,这里我们需要写一个正常无毒的vba脚本,以下。

使用 -s 进行混淆:

EvilClippy.exe -s test.vba test2.doc

执行完成,接着看看其他的参数:

./EvilClippy.exe -h

参数有:

Options:

-n, --name=VALUE The target module name to stomp. This argument can be repeated.

-s, --sourcefile=VALUE File containing substitution VBA code (fake code).

-g, --guihide Hide code from VBA editor GUI.

--gg, --guiunhide Unhide code from VBA editor GUI.

-t, --targetversion=VALUE Target MS Office version the pcode will run on.

-w, --webserver=VALUE Start web server on specified port to serve malicious template.

-d, --delmetadata Remove metadata stream (may include your name etc.).

-r, --randomnames Set random module names, confuses some analyst tools.

--rr, --resetmodulenames Undo the set random module names by making the ASCII module names in the DIR stream match their Unicode counter parts

-u, --unviewableVBA Make VBA Project unviewable/locked.

--uu, --viewableVBA Make VBA Project viewable/unlocked.

-v Increase debug message verbosity.

-h, --help Show this message and exit.

当然再使用一下 -r 参数来设置随机模块名(混淆安全分析工具)

./EvilClippy.exe -r .\test2_EvilClippy.doc

将最后的test2.doc丢到在线查杀网站上检查一下:

https://www.virscan.org/language/zh-cn/

未加任何参数的文件,扫描结果为:

经过 -s 参数之后的文件,扫描结果为:

经过 -s 和 -r 参数之后的文件,扫描结果为(少了一个引擎报毒):

这测试结果有毒吧hhh,不过该工具2019年发布,现在这么多杀毒软件能够查杀也是很正常的事情,毕竟别人是靠这个吃饭的,所以还是得深入到vbs代码底层去进行免杀。

参考链接

Office宏病毒免杀(1)的更多相关文章

  1. CobaltStrike 生成office宏病毒进行钓鱼攻击

    关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率.微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力.如完打开word文 ...

  2. Cobalt-Strike Office宏利用与免杀

    1.打开Cobalt-Strike生产Office宏病毒. 首先需要设置监听器.因为钓鱼的目标比较单纯,在这里就不采用域前置技术. 然后使用攻击模块,生产Office宏病毒. 设置好监听器. 生成宏病 ...

  3. shellcode 免杀(一)

    工具免杀 选择了几个简单或者近期还有更新的免杀工具进行学习 ShellcodeWrapper https://github.com/Arno0x/ShellcodeWrapper 该工具的原理是使用异 ...

  4. 附件携马之CS免杀shellcode过国内主流杀软

    0x01 写在前面 其实去年已经写过类似的文章,但是久没用了,难免有些生疏.所谓温故而知新,因此再详细的记录一下,一方面可以给各位看官做个分享,另一方面等到用时也不至于出现临阵磨枪的尴尬场面. 0x0 ...

  5. 免杀后门之MSF&Veil-Evasion的完美结合

    本文由“即刻安全”投稿到“玄魂工作室” Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目.利用它我们可以生成绕过杀软的 payload !kali 上并未安装 ...

  6. PHP一句话过狗、卫士、D盾等免杀思路!

    原文转载于:http://www.legendsec.org/1701.html 觉得写得还算蛮科普的. 00x1.关键字拆分.         比如assert,可以写成 ‘a’.’ss’.’e’. ...

  7. Atitit.木马病毒的免杀原理---sikuli 的使用

    Atitit.木马病毒的免杀原理---sikuli 的使用 1. 使用sikuli java api1 1.1. 3. Write code!1 2. 常用api2 2.1. wait 等待某个界面出 ...

  8. Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结

    Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...

  9. 浅谈C++源码的过国内杀软的免杀

    以下只是简单的思路和定位.也许有人秒过,但是不要笑话我写的笨方法.定位永远是过期不了的. 其实这里废话一下 , 本人并不是大牛 ,今天跟大家分享下 .所以写出这篇文章.(大牛飘过) 只是个人实战的经验 ...

随机推荐

  1. 【转载】VirtualBox 扩展增强包安装

    1 扩展包作用 鼠标可自动在虚拟机和物理机中切换状态,而不用按快捷键解除独占功能 安装了扩展包后,可以解决 virtualbox 中 更改 ubuntu 分辨率无效的问题 2 原文地址 星朝 - Vi ...

  2. asp.net 页面,文字自适应手机屏幕

    (1)在<head>和</head>之间插入代码. <meta name="viewport" content="width=device- ...

  3. 关于目标检测(Object Detection)的文献整理

    本文对CV中目标检测子方向的研究,整理了如下的相关笔记(持续更新中): 1. Cascade R-CNN: Delving into High Quality Object Detection 年份: ...

  4. Spring源码分析之循环依赖及解决方案

    Spring源码分析之循环依赖及解决方案 往期文章: Spring源码分析之预启动流程 Spring源码分析之BeanFactory体系结构 Spring源码分析之BeanFactoryPostPro ...

  5. 如何实现Http请求报头的自动转发[应用篇]

    如今的应用部署逐渐向微服务化发展,导致一个完整的事务往往会跨越很多的应用或服务,出于分布式链路跟踪的需要,我们往往将从上游服务获得的跟踪请求报头无脑地向下游服务进行转发.本文介绍的这个名为Header ...

  6. python脚本打包成rpm软件包

    前言 软件最终都会有交付的形式,有的是用tar包,有个是以目录,有的是封成一个文件包,从大多数使用场景来说,直接打包成软件包的方式是最简单,也是最不容易出错的,路径可以在包里面写死了 实践 关于打包的 ...

  7. php 序列化和反序列化的作用及使用

    1.序列化是什么意思呢? 序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式 serialize(); 2.反序列化是什么意思呢? 其实就是字面的意思,把序列化的数据,转换成我 ...

  8. pikachs 渗透测试1-环境及暴力破解

    一.安装 PhpStudy20180211,默认安装 1.mysql默认密码是root,因为在虚拟机,保留不动 2.解压pikachs 到 C:\phpStudy\PHPTutorial\WWW\pi ...

  9. 百度ping工具

    function postUrl($url, $postvar) { $ch = curl_init(); $headers = array( "POST".$url." ...

  10. 使用pdfFactory隐藏文档中的隐私信息

    分享PDF文档时,文档中可能会存在一些隐私信息,比如用户名.用户的邮件地址.电话号码等信息.为了更好地保护原有文档内容的完整性,大家可以在生成PDF时,使用pdfFactory的隐藏信息功能,删除或遮 ...