CS生成宏&上线

生成宏

1.cs生成宏，如下图操作

2.点击复制宏代码，保存下来

cs上线

注：如下操作使用的是word，同样的操作也适用于Excel

1.新建一个word文档，使用word打开。点击文件——

2.更多——选项——

3.自定义功能区——勾选 开发工具——点击确定

4.点击开发工具——新建 宏——任意 宏名——宏的位置(之前新建的word文档)——创建

5.跳转到如下，将cs生成的宏代码写入——点击保存——取消

6.来到如下，可以选择如下两种保存方式——建议选择 Word 97-2003文档(*.doc) ,因为这种保存方式向下兼容

7.点击使用word打开宏文件，打开后并不会立马上线。需要点击 启动内容

8.点击 启动内容 ，cs成功上线

9.选择另一种保存方式

10.打开——启用内容，cs成功上线

11.上传到目标系统，直接被火绒杀

Office套件-本地宏引用-工具项目免杀

介绍：EvilClippy

        用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏VBA宏，踩踏VBA代码（通过P代码）并混淆宏分析工具。 在 Linux、OSX 和 Windows 上运行。

下载：https://github.com/outflanknl/EvilClippy

1.执行如下命令，编译工具为exe（此编译方法只适用于安装Visual Studio的情况）

编译：csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs

csc.exe路径：

Visual Studio2019：C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\MSBuild\Current\Bin\Roslyn\csc.exe

Visual Studio2015：C:\Program Files (x86)\MSBuild\14.0\Bin

2.将之前生成的cs.doc宏文件复制到工具目录下，在创建一个1.vba文件

1.vba文件内容：

Sub Hello()

Dim X

X=MsgBox("Hello VBS")

3.执行命令，在工具根目录生成经过踩踏操作的宏文件

命令：EvilClippy.exe -s 1.vba cs1.doc

4.打开经过踩踏的宏文件cs_EvilClippy.doc，cs成功上线

5..将原生态宏文件cs.doc和经过踩踏的宏文件cs_EvilClippy.doc上传到恶意文件评测平台

平台：https://www.virustotal.com

原生态宏文件cs.doc免杀效果：

踩踏的宏文件cs_EvilClippy.doc免杀效果：

可以看出免杀效果大大提高。

Office套件-远程宏引用

在阿里云OSS上传一个带有上线代码的宏文档

启动模板文档时会加载一个文件，将加载的路径更改为带有上线代码的宏文档链接

经过测试发现，就算是阿里云这样的绿色网站也变成了不受信任的来源，无法运行宏