VBA:无法在代码中将.doc保存到.dotm - 腾讯云开发者社区

文章/答案/技术大牛

发布

干货 | Office文档钓鱼的实战和免杀技巧

EvilClippy.exe -g macrofile.doc 撤消由hide选项（-g）完成的更改，以便我们可以在VBA IDE中调试宏。...EvilClippy.exe -gg macrofile.doc Stomp VBA（滥用P代码）VT 查杀 12/60 效果很好，过火绒将来自文本文件fakecode.vba的虚假VBA代码放在所有模块中...请注意，VBA项目版本必须与主机程序匹配才能执行P代码 EvilClippy.exe -s 1.vba macrofile.doc 参数说明：-s 参数是通过假的 vba 代码插入到模块中，用以混淆杀毒程序...发送的文档本身不带恶意代码，所以能过很多静态检测。只需要在远程DOTM文档中编写宏病毒或者木马即可。...思路：编写一个带有宏代码的DOTM文档，上传服务器编写一个能够远程连接的DOCX文档将该文档压缩找到并更改settings.xml.rels文件中的内容，将其中的target内容修改为服务器上DOTM

9.3K2 1

Sednit组织最新研发的恶意软件组件

研究人员发现，钓鱼邮件中携带的附件文档其实是一份空白文档，但这个恶意文档引用了一个托管在Dropbox上的远程模板：wordData.dotm。...wordData.dotm文件中还包含恶意宏，文档被打开后恶意宏也将被执行，不过具体将取决于目标设备中Microsoft Word的版本，有的版本默认会禁用VBA宏功能，如果被禁用的话，恶意软件还会提示用户启用宏功能...如第一张截图所示，wordData.dotm中的宏会打开另一个文档：lmss.doc，而lmss.doc文件需要恶意宏从wordData.dotm中提取出来。...lmss.doc中的恶意宏辉执行lmss.exe，也就是Zebrocy最新的Nim下载器，它同样是从wordData.dotm中提取出来的，而且wordData.dotm并不会直接执行下载器。...需要注意的是，lmss.doc中包含的VBA代码可以执行新型的Nim下载器，而且它还嵌入了一个Base64编码的可执行程序，根据其文档属性，lmss.doc创建于2019年1月份，并且在8月20日进行过修改

8323 0

您找到你想要的搜索结果了吗？

是的

没有找到

Word VBA技术：创建、打开或关闭文档时自动运行宏

标签：Word VBA 有多种方法可以使我们在创建、打开或关闭Word文档时自动运行宏。...此时，在右侧代码窗口顶部，会看到两个列表框。单击左侧下拉列表，将其从“（通用）”更改为“Document”，VBA将自动创建一个名为Document_New()的过程。...然而，如果存储在Normal.dotm中，则它们将全局运行，换句话说，当创建、打开或关闭任何文档时，它们都将被触发。...与存储在Normal.dotm中的Document_Open过程形成对比，后者仅在打开基于Normal.dotm的文档时执行。...不过，存储在加载项（存储在Word启动目录中的.dotm文件）中的AutoNew、AutoOpen和AutoClose宏将无法全局运行。

4.2K3 0

红队 | CS加载宏上线初探

ctrl+s保存，这里可以保存成.dotm或.docm都可以，这两个文件格式都是启用宏的Word格式 ? 我这里生成一个.dotm模板文件 ?...宏和VBA代码，并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。...该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法，并且使用了Mono C#编译器实现了在Linux、macOS和Windows平台上的完美运行。...VBA stomping VBA 在 Office 文档中可以以下面三种形式存在 1、源代码: 宏模块的原始源代码被压缩，并存储在模块流的末尾。...vba文件对生成文件进行伪装混淆 mono EvilClippy.exe -s 3.vba Doc1_EvilClippy.docm ?

3.4K3 0

office模板

VBA可以插入到基本模板中,并用于在相应的 Office 应用程序启动时执行代码以获得持久性默认情况下，Word 会创建一个Normal.dotm 模板，可以对其进行修改以包含恶意宏Word Normal.dotm...location:C:\Users\\AppData\Roaming\Microsoft\Templates\Normal.dotm%APPDATA%\Microsoft\Templates...\ --> Normal.dotm分析Empire -- usestager/windows/macro 环境：win10 office2016分析工具：(archlinux+python3)pip install...-U oletoolsoleid Normal.dotm olevba Normal.dotm 简介：oleid：分析 OLE 文件以检测恶意文件中常见的特定特征olevba：从 MS Office...文档（OLE 和 OpenXML）中提取和分析 VBA 宏源代码Empire ：powershell-empire serverpowershell-empire clientuselistener httpset

9895 0

office模板文件｜调整格式多累人啊，不如一开始就不要乱

文档格式有什么讲究绝大多数打工人应该都知道，word文档有doc格式、docx格式，但其实我们在点另存的时候，格式其实还挺多了，大家都习惯性地忽略了这些格式的文件。 ...word为例，这些不同的格式分别是这样的： 1、Word 2007以上版本的文档（*.docx） 2、Word 2007以上版本的模板文件（*.dotx） 3、Word 2003及以下版本的文档（*.doc...） 4、Word 2003及以下版本的文档（*.dot） 5、启用宏VBA的 word 文档（*.docm） 6、启用宏VBA的 word 模板（*.dotm） 7、PDF （*.pdf） 8、Xps...office 2007有一个比较大的更新，也就是我们很熟悉的doc变成了docx这个变化。模板文件也是一样，有了带x和不带x的两个版本。对于实操使用上来说没什么大的区别就是版本不一样而已。...模板文件会默认保存到自定义Office模板文件夹中，如果是给别人用的统一模板，把dotx格式的文件发给对方即可，对方打开是一个空白的word文档，在文档中进行编辑撰写即可，不需要其他的操作。

5112 0

VBA专题06-5：利用Excel中的数据自动化构建Word文档—Excel与Word整合示例2

图9：在Word模板中定义书签在Excel工作表中，包含有书签名数据及要在相应书签处放置的文本，即命名为rngBookmarkList的单元格区域A2:B4，如下图10所示。 ?...图10：存放在工作表中需放置在书签处的文本数据编写代码如下： '示例来源于Professional ExcelDevelopment(2nd Edition) Sub PopulateWordDoc1...lBookmark,UBound(vaBookmarks, 2)) Next lBookmark '保存填充的文本并关闭 wrdDoc.SaveAs sPath & "Filled1.doc...图11：使用Excel中的数据替换Word文本此外，还可以借助于第二个启用宏的Word模板来实现，假设这个宏模板文档名为FillDocument.dotm，并放置在和Bookmarks.dotx文档与...") '在Word中运行代码, 传递所需的数据 wrdApp.Run "FillDocument", sPath &"Bookmarks.dotx", _ sPath & "

2.1K3 0

利用office宏反弹shell

宏实际上是一系列Word 命令的组合，用户可以在Visual Basic 编辑器中打开宏并进行编辑和调试，删除录制过程中录进来的一些不必要的步骤，或添加无法在Word 中录制的指令。...利用生成的jaky.vba文件弄进office文件里 ? 这里要启用一下宏默认是关闭的宏-查看宏 ? 在文档里随便输入个文字什么的。最好是比较诱人的文字。 ?...2、如果创建的是全局宏，Office会在这个目录生成一个dotm文档： C:\Users\（username）\AppData\Roaming\Microsoft\Templates ?...全局宏是对于当前计算机所有文档对象有效，即文档本身不包含宏代码，也可以运行全局宏。但是本身的全局宏名字是随机生成的，所以要先创建一个全局宏，定义一下名字。...打开其他文档时才能调用并执行代码。这个全局宏中的文件：vbaProject.bin是包含了特征的文件，但是反病毒软件不会扫描这个文件，除非主动查杀。

2.3K2 1

威胁分析报告：11.深入了解Zebrocy的Dropper文档（APT28）

该专栏主要翻译国外知名安全厂商的APT报告，了解它们的安全技术，学习它们溯源APT组织和恶意代码分析的方法，希望对您有所帮助。当然，由于作者英语有限，会借助机翻进行校验，还请包涵！...上传的文件包含了原始文件名： Авансовыйотчет(новый).doc Формадокладной(служебной)записки.doc 在这篇文章中，我们将深入研究这些样本，并分享一些其他分析师用来逆向...二.绕过VBA宏密码保护在使用VBA宏分析Office文档时，攻击者有许多不同的工具和技术来完成这项工作，但我已经养成了一个习惯。...该钩子是一种拦截按键事件的机制，然后将所有事件保存到一个日志文件中，并将其发送到C2。 C2使用十六进制进行模糊处理，十六进制可以转换为ascii。..." ascii wide $required2 = "Normal.dotm" ascii wide $required3 = "bin.base64" ascii wide $

1.5K2 0

社会工程学 | office宏分离免杀及应急处置

Office宏分离免杀的方式是在目标用户的office开启宏功能的前提下，诱骗其使用office办公软件打开文档，通过加载远程的恶意宏代码，达到控制目标主机权限的目的。...>MS Office Macro 4、选择生成的Payload，这里选择使用Beacon http，会连到主机的IP地址是192.168.146.128 5、点击复制宏代码 6、将代码复制到word...文档中开发工具->Visual Basic的代码窗口中。...7、Ctrl+S保存后，会提示，点击否，选择保存类型：beta.dotm 8、鼠标右键单击beta.dotm文件，选择打开，(此处注意不能双击打开，双击是无法打开模版文件的，在模版文件上双击默认是以此模版创建新文件...11、将zip文件解压，进入/word/_rels目录下，打开settings.xml.rels宏文件，将该段代码修改为以下内容，意思就是执行开启宏后，会执行访问下载服务器上的dotm宏文件并执行！！

1K2 0

社工钓鱼之Office钓鱼(中)

在本小节中，我们的目的是构造一个存在恶意宏代码的简历文件并将其投放给HR，通过钓鱼控制目标主机实验步骤 Step 1：首先准备一份简历 Step 2：使用CS生成恶意宏代码 Step 3：弹出界面选择...Listener Step 4：之后生成恶意宏代码 Step 5：之后在word简历中插入恶意宏代码，首先转到"视图->宏->查看宏' 之后新建宏名——shell 清空所有代码，然后将复制的代码粘贴到编辑器中...这里因为默认情况下，信任中的的宏设置为"禁用所有的宏，并发出通知"，所以需要用户主动点击启动宏：如果你觉得.dotcm容易引起受害者的怀疑，那么你可以这样做： Step 1：将具有恶意宏文件的dotm...Step 3：进入word文件夹中的_rels，找到settings.xml.rels文件将其的target属性的值改为我们上面的那个URL，也就是http://22.124.56.238:8999/Doc1....dotm?

8603 0

万能在线预览 kkFileView v4.2.0 正式发布

已在 Gitee 收获 17.2K 、Github 收获 8.2K star，我们一直在精心打磨 kkFileView ，旨在打造开源里最好用最强大的文件在线预览项目。...文件预览支持新增加密的 zip、rar 等压缩包文件预览支持新增 xmind 软件模型文件预览支持新增 bpmn 工作流模型文件预览支持新增 eml 邮件文件预览支持新增 epub 电子书文件预览支持新增 dotm...部署压缩包文件预览支持目录修复修复部分接口 XSS 问题修复控制台打印的演示地址不跟着 content-path 配置走的问题修复 ofd 文件预览跨域问题修复内部自签证书 https 协议 url 文件无法下载的问题修复特殊符号的文件无法删除的问题修复...PDF 转图片，内存无法回收导致的 OOM修复 xlsx7.4 以上版本文件预览乱码的问题修复 TrustHostFilter 未拦截跨域接口的问题，这是一个安全问题，有使用到 TrustHost 功能的务必升级修复压缩包文件预览在...Linux 系统下文件名乱码的问题修复 ofd 文件预览页码只能显示 10 页的问题----kkFileView 支持的文件列表支持 doc, docx, xls, xlsx, xlsm, ppt,

4.8K6 0

揭秘如何使用跨平台的EvilClippy创建恶意MS Office文档

今天给大家介绍的是一款名叫EvilClippy的开源工具，EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具，它可以隐藏VBA宏和VBA代码，并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度...功能介绍 1、在GUI编辑器中隐藏VBA宏； 2、混淆安全分析工具； 3、 VBA Stomping； 4、引入VBA P-Code伪编码； 5、设置远程VBA项目锁定保护机制； 6、通过HTTP...该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法，并且使用了Mono C#编译器实现了在Linux、macOS和Windows平台上的完美运行。...工具安装注：跨平台编译代码可以在该项目的releases页面下获取。...-s fakecode.vba -t 2016x86 macrofile.doc 设置随机模块名（混淆安全分析工具） EvilClippy.exe -r macrofile.doc 通过HTTP提供

2.5K3 0

Python让Excel飞起来：使用Python xlwings实现Excel自动化

图1 在“加载宏”对话框中，选取Xlwings前的复选框，如下图2所示，单击“确定”按钮。图2 现在，Excel功能区中将出现一个名为“xlwings”的选项卡，如下图3所示。...接着，在Excel中按Alt+F11组合键，打开VBA编辑器。在VBA编辑器中，单击菜单“工具->引用”，找到并选取“xlwings”前的复选框，如下图10所示，然后单击“确定”按钮。...在右侧的代码窗口，输入以下VBA代码。...接下来，保存VBA代码，现在我们要在Excel工作表中创建一个按钮。返回Excel界面，在“开发工具”选项卡，单击“插入->按钮”，并指定刚创建的宏Rand_10。...确保在VBA编辑器菜单“工具->引用”中选取了“xlwings”，并将更改保存到相应的Excel文件中。有时，当打开多个Excel工作表时，我们可能会无意中将此更改应用于另一个文件。

13.5K4 1

wannacry病毒作者_wannacry病毒利用了哪种漏洞

win7 32位 + PEID + OD + IDA + 火绒剑 + PCHunter 2.病毒行为大量文件被加密,后缀名为.WNCRY 每隔一段时间弹出勒索窗口桌面背景被强制更换 3.恶意代码分析...当参数>=2，进入服务流程否则进入病毒主流程服务流程创建服务启动,每次开机都会自启动从内存中读取MS17_010漏洞利用代码,payload分为x86和x64两个版本分别创建两个线程...判断已加密完成的做一样工作创建快捷方式,生成提示文件 , 枚举文件,为加密做准备强制结束相关进程,防止加密时文件被占用遍历文件判断文件类型会加密以下文件类型 File_Type_A .doc....txt .csv .rtf .123 .wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg File_Type_B .docb .docm .dot .dotm...加密文件格式: 对文件进行加密时,首先会生成新的AES秘钥,使用RSA公钥_B对生成的AES秘钥进行加密,保存到要加密文件的开头部分,(在WANACRY!)

6453 0

Excel揭秘25：突破数据有效性列表的字符限制

如下图1所示，在“数据验证”对话框中，选择“允许”下拉列表中的“序列”，在“来源”框中设置数据列表来源。 ? 图1 数据有效性列表的数据来源有两种设置方式： 1. 使用逗号分隔的字符串 2....使用单元格区域然而，如果使用逗号分隔的字符串作为数据列表的来源，你会发现这样的字符串的字符数被限制为255个字符，超过此限制的字符串根本无法输入到数据来源中。...但是，有趣的是，使用VBA代码编程，却也可以给数据列表提供大于255个字符的字符串。下面的代码创建了一个逗号分隔的344个字符的字符串，并在A1中创建了一个数据有效性列表。...然后，将其扩展名更改为.zip，接着打开这个压缩文件，导航到xl文件夹，打开数据有效性所在的工作表，示例中是sheet2.xml，打开它，你可以看到formula1元素下有71个项已被保存到文件中，如下图...你可能会说，我可以在Workbook_Open事件中添加长列表，然后在Workbook_BeforeSave事件中将其删除以避免修复问题，但是使用代码绕过限制字符数没有很好的用处。

3.4K2 0

进击的恶意文档之 VBA 进阶之旅

下面我就以威胁分析员的角度来介绍几种技术 VBA stomping VBA 在 Office 文档中可以以下面三种形式存在 1、源代码: 宏模块的原始源代码被压缩，并存储在模块流的末尾。...版本相同，则会忽略流模块中的源代码，去执行 P-Code 代码官方文档解释 _VBA_PROJECT 流 ?...Pcodedmp 精准的识别了真正的宏代码，忽略了伪造的 VBA 通过 VBA stomping 原理可知，真正的代码存为了 P-Code，所以 olevba 输出的结果中反编译形式的 VBA 即为真正的代码...2007(x86) 8800 2010(x86) 9700 2013(x86) A300 2016(x86) AF00 在 VBA 编辑器中隐藏宏可以在 VBA 编辑器中隐藏真正的宏，只需要修改 PROJECT...在 VBA 编辑器中，NewMacros 已经消失了，宏正常执行 ?

5.3K3 0

一次垃圾邮件的分析

附件分析一般分析方法 4.1 一般来说，分析一个word附件，一般的方式会选择用oletools，但是这是在word文档非加密的情况下，加了密码后无法通过oletools来提取word文档中的宏。...4.2 olevba 提取宏展示 olevba -c xxx.doc -a: 自动分析word是否可疑 -c: 只显示word中的宏代码加了密码后，就不能用一般的分析方法 4.3 尝试是用olevba...来提取文档的vba代码 4.4 关闭宏自动运行的前提下，打开word附件。...icon.jpg的内容，并创建一个Stream对象写入icon.jpg的内容，然后保存到svchost.exe所在的目录，也就是c:\windows\system32\目录下，Val("2FFF")的值为...2，在adobe.stream的SaveToFile方法中，第二个参数代表覆盖原来的文件。

1K7 0

Office如何快速进行宏免杀

宏是 Office 自带的一种高级脚本特性，通过 VBA 代码，可以在 Office 中去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。...全部粘贴进去，保存并关闭该 VBA 编辑器。 ? 另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”，即 doc 文件，保证低版本可以打开。...可以隐藏 VBA 宏，踩 VBA 代码（通过 P 代码）并混淆宏分析工具。在 Linux，OSX 和 Windows 上运行。...把这两个下载回来即可使用方法： EvilClippy.exe -s hello.vba diaoyu.doc 参数说明：-s 参数是通过假的 vba 代码插入到模块中，用以混淆杀毒程序，这里我们需要写一个正常...ShellCode 可以自己在 VBA 里解码或者比如每个元素自增 1，运行的时候-1，达到免杀 ……

4.9K3 0

AI办公自动化：批量删除word文档中的方括号及其内容

按下 Ctrl + H组合键，或者在“开始”选项卡中选择“替换”，以打开“查找和替换”对话框。在“查找内容”框中输入 \[*\]。...注意：在执行此操作之前，建议先备份你的文档，以防万一出现误删或其他问题。...以下是一个基本的VBA脚本示例，用于执行此操作： Sub RemoveBracketsAndContent() Dim doc As Document Set doc = ActiveDocument...按下 Alt + F11组合键，打开VBA编辑器。在VBA编辑器中，插入一个新模块（右击工作表名称 -> 插入 -> 模块）。将上述VBA代码粘贴到新模块中。...在WPS里面是点击高级搜索，然后选择：使用通配符

2.1K1 0

点击加载更多

干货 | Office文档钓鱼的实战和免杀技巧

Sednit组织最新研发的恶意软件组件

Word VBA技术：创建、打开或关闭文档时自动运行宏

红队 | CS加载宏上线初探

office模板

office模板文件｜调整格式多累人啊，不如一开始就不要乱

VBA专题06-5：利用Excel中的数据自动化构建Word文档—Excel与Word整合示例2

利用office宏反弹shell

威胁分析报告：11.深入了解Zebrocy的Dropper文档（APT28）

社会工程学 | office宏分离免杀及应急处置

社工钓鱼之Office钓鱼(中)

万能在线预览 kkFileView v4.2.0 正式发布

揭秘如何使用跨平台的EvilClippy创建恶意MS Office文档

Python让Excel飞起来：使用Python xlwings实现Excel自动化

wannacry病毒作者_wannacry病毒利用了哪种漏洞

Excel揭秘25：突破数据有效性列表的字符限制

进击的恶意文档之 VBA 进阶之旅

一次垃圾邮件的分析

Office如何快速进行宏免杀

AI办公自动化：批量删除word文档中的方括号及其内容

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐