钓鱼第一篇------Office宏

日常的学习，日常的记录。

开启记录的第一章。

最近的HW越来越难打，感觉现在HW中钓鱼的占比，比较大。

现在CS和MSF用的比较多，我这里就用CS来进行实验了，如有理解错误可以下方评论。

一、Office宏

　　如果将宏添加到模板中，则此恶意文档则具有传播性，当用户一旦打开带有宏的恶意文档，宏病毒就被会启动并且将目标模板污染，如果目标将自己电脑的文档传给其他用户，则可以将病毒传播给其他用户。

　　传播路线:单个Office文档 => Office文档模板 => 多个Office文档

　　具体操作如下

　　用CS生成Office宏代码

 

 

 

 　　

　　点击Copy Macro将其复制，然后将其放在放在word宏中，我这里没有创建模板，创建仅仅当前文档。

 

 　　将之前复制的内容存放在这里

 

 

 　　然后Ctrl+s将内容保存，出现如下提示则点击否，然后将内容存在宏可以打开的格式，docm或者dotm，我这里将内容存储为docm，这里要注意生成文件的时候要关闭杀软。

 

 

 

 

 

　　现在大部分电脑都会装火绒或者360，使用EvilClippy，对其进行一个简单的免杀。

　　我这里使用ubunto打开需要先安装mono来执行exe文件，原理就是需要自己先写一个正常的vba文件来和一个恶意的文件来进行混淆，来躲避杀软检测。

先创建一个正常的文件1.vba，然后用记事本打开将下面文件加进去。

Sub Hello()
Dim X
X=MsgBox("Hello VBS")
Sub MyNZ()

Dim MyDate, MyDay

MyDate = Date

MyDay = Day(MyDate)

MsgBox MyDay

END SUB

将带有宏病毒的文档和正常的vba代码放在同一个目录下，执行命令生成一个新的免杀文件。

 

 

 

 可以正常过火绒，之前测得360也可以过大家可以自己测一下。