声明:本文仅供参考学习,本人及其平台不承担任何法律责任
限于篇幅,本文仅讨论windows office系列,wps系列原理大致相同.
1)什么是宏:
宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言Visual Basic将宏作为一系列指令来编写。
宏又分为局部宏和全局宏.全局宏对所有文档都有效,局部宏只对本文档有效.
注意:在office系列中是可以直接使用宏的,wps则需自己安装对应的软件.
2)如何录制一个宏
(word版本:2007)
首先点击开发工具,然后点击录制宏.
首先输入宏名,然后选择触发方式,将宏指定到按钮可以理解为添加一个快捷方式
当我们点击这个按钮的时候就会执行宏.
将宏指定到键盘相当于使用快捷键执行宏.
3)使用宏隐藏文字
在编写代码前,首先要更改两个设置
将箭头所所指的两个选项的对勾取消,否则隐藏字体将会失败.
Alt+F11打开VBA
这里录制了一个名为hidden的宏,用于隐藏文字
Vba的语法请自行学习,这里不再赘述.关于vba的更多API及其属性请参考微软官方档案
https://docs.microsoft.com/zh-cn/office/vbaa/api/overview/4)什么是宏病毒
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。--------以上内容摘自百度百科
利用自动执行的宏达到取得控制权的目的,自动执行的宏名也可以在微软档案中找到.
https://docs.microsoft.com/zhcn/office/vba/word/concepts/customizing-word/auto-macros
编写宏如下
注意:在VBA中,不区分字母的大小写,AutoOpen和autoopen等价.
5)编写宏病毒
典型案例(CDO自发邮箱获取系统用户名):
可以获取的信息有很多,这里以获取系统用户名为例
代码如下:
总结:
攻击思路:在实战中有一个吸引人的文件名很重要,同时最关键的是引诱他主动降低宏的安全性,例如某个拙劣之际的APT组织对我国医疗机构的定向攻击.
防守思路:
1:在线沙箱检测文档是否宏病毒。
2: 开启禁用宏
3: 安装杀毒软件
宏病毒攻击方式多种多样(邮箱钓鱼,云宏病毒,下载木马等等)
比起我写的拙作,网上有很多值得分析的宏病毒样本,希望本文对如何编写宏病毒不是很了解的人有所帮助.
推荐阅读:
点赞,转发,在看
原创投稿作者:Buffer
本文始发于微信公众号(HACK学习呀):干货 | 如何编写Word宏木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论