Excel老式技术

VBS宏脚本嵌入明文代码

image

image

本次提交有12个引擎报毒,报毒类型较为集中,主要为VBA.Heur2.Amphitryon.359.Gen。现将该文件另存为.xlsm格式(启用宏的工作簿),再次提交:

image

本次提交较上次报毒总量减一,或许是.xlsm默认启用宏,提升了宏的合法性。

注释(备注)部分插入明文代码,并使用宏执行

image

使用以下宏执行嵌入在“备注”属性中的有效负载:

image

注意:为了使Workbook_Open()函数自动执行宏,该文档的版本应该为Office 97-2003兼容性(.xls)。提交检测:

image

本次提交有63个引擎能够识别,较之前减一,报毒总数也减少,伪装有一定效果(?)。直接点开该文件确实会启动.dll文件,但是报毒数出人意料,这与参考博文提供的检测结果不同(15/60)。按照常理,这样的处理方式应当更容易被检测。

通过自定义公式执行明文代码

创建合适公式:

image

提交检测:

image

包括卡巴斯基在内的四个引擎报毒。

在VBS宏脚本中编码PowerShell命令行

默认情况下,将PowerShell引入宏,文档立刻被识别为恶意文件。利用宏执行PowerShell通常备受关注。若Windows Defender保持活性,则会在此类文档被创建后立马删除。

注释部分编码PowerShell命令行,并使用宏执行

与上一项相同,采用命令行,但是对PowerShell使用Base64编码:

image

提交VT检测:

image

使用明文与Base64的区别不大。要实际使用这种方法,应当避免过度编码命令。

通过自定义公式执行PowerShell命令行

在公式中插入经过Base64编码的PowerShell命令行:

image

image

很明显涉及PowerShell的恶意尝试都被给予了充分关注。仅就明文代码而言,相同方法中使用了PowerShell的文件会面临更多引擎报毒。

Excel老式技术的更多相关文章

  1. Java中导入导出Excel -- POI技术

    一.介绍: 当前B/S模式已成为应用开发的主流,而在企业办公系统中,常常有客户这样子要求:你要把我们的报表直接用Excel打开(电信系统.银行系统).或者是:我们已经习惯用Excel打印.这样在我们实 ...

  2. 工作时间看股票:采用Excel RTD技术获取和讯网的实时股票行情及深沪港最新指数

    本文地址:http://www.cnblogs.com/Charltsing/p/RTD.html QQ:564955427 在Excel里面获取实时数据大概有几种方式:1.定时器+函数2.DDE3. ...

  3. DELPHI中四种EXCEL访问技术实现

    一.引言 EXCEL在处理中文报表时功能非常强大,EXCEL报表访问也是信息系统开发中的一个重要内容,本文总结以往开发中所用到的几中EXCEL文件访问方法,在实际工作中也得到了很好的验证,本文列举了其 ...

  4. ASP.NET打印EXCEl报表技术总结

    序言:我们在做企业项目或者一些管理系统的时候往往会用到导出到excel报表这项功能,下面我介绍的是用windows自带的excel来打印 首先必须引入:Interop.Excel.dll.Intero ...

  5. 史上最全的excel读写技术分享

    目录 简介 导出excel常用的几种方法 POI CSV jxl jxls easyexcel 快速入门 代码解读 总结 常用API 单元格样式 合并单元格 数据样式 多sheet设置 单元格添加超链 ...

  6. excel排序技术记录

    问题: 给了我一个excel,要求以奖项和编码同时进行排序(奖项优先),但是单元格大小不一样,有数列都是合并了单元格的,同时编码的格式还不一样,有些是SMM-2-07,有些是2-07,所以根本无法进行 ...

  7. 4种处理excel文件的技术

    1.OLE Automation:处理excel文件会启动一个excel的进程,程序和excel进程通信来处理excel文件,这种方式占用服务器资源,不适合于网站的开发. 2.把Excel当成数据库, ...

  8. Java导出excel

    一.介绍 常常有客户这样子要求:你要把我们的报表直接用Excel打开(电信系统.银行系统).或者是:我们已经习惯用Excel打印.这样在我们实际的开发中,很多时候需要实现导入.导出Excel的应用. ...

  9. [转]Java中导入、导出Excel

    原文地址:http://blog.csdn.net/jerehedu/article/details/45195359 一.介绍 当前B/S模式已成为应用开发的主流,而在企业办公系统中,常常有客户这样 ...

随机推荐

  1. Leetcode(19)-删除链表的倒数第N个节点

    给定一个链表,删除链表的倒数第 n 个节点,并且返回链表的头结点. 示例: 给定一个链表: 1->2->3->4->5, 和 n = 2. 当删除了倒数第二个节点后,链表变为 ...

  2. C++中的explicit

    首先, C++中的explicit关键字只能用于修饰只有一个参数的类构造函数, 它的作用是表明该构造函数是显示的, 而非隐式的, 跟它相对应的另一个关键字是implicit, 意思是隐藏的,类构造函数 ...

  3. Linux 驱动框架---dm9000分析

    前面学习了下Linux下的网络设备驱动程序的框架inux 驱动框架---net驱动框架,感觉知道了一个机器的大致结构还是不太清楚具体的细节处是怎么处理的,所以今天就来以dm9000这个网上教程最多的驱 ...

  4. export html to canvas image

    export html to canvas image canvas.toDataURL https://developer.mozilla.org/en-US/docs/Web/API/HTMLCa ...

  5. React Hooks: useEffect All In One

    React Hooks: useEffect All In One useEffect https://reactjs.org/docs/hooks-effect.html https://react ...

  6. how to convert Map to Object in js

    how to convert Map to Object in js Map to Object just using the ES6 ways Object.fromEntries const lo ...

  7. PM2 All In One

    PM2 All In One https://pm2.keymetrics.io/ https://pm2.io/ $ yarn global add pm2 # OR $ npm install p ...

  8. taro & querySelector & refs

    taro & querySelector & refs delayQuerySelector https://github.com/NervJS/taro-ui/blob/dev/sr ...

  9. spring boot插件开发实战和原理

    本文转载自spring boot插件开发实战和原理 实战:编写spring boot插件 为什么要编写boot插件 因为我们在开发的时候需要提供一些共同的功能,所以我们编写个共同的jar包.开发人员在 ...

  10. JAVA 8 新特性实用总JAVA 8 新特性实用总结结

    JAVA 8 新特性实用总结 作为一个工作两年多的 老 程序猿,虽然一开始就使用 jdk1.8 作为学习和使用的版本,随着技术的迭代,现有的 JDK 版本从两年前到现在,已经飞速发展到了 JDK 15 ...