Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。
原文链接:https://mp.weixin.qq.com/s/OdCrUOsVAscqOjWaq2w8hQ
Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。
在PowerQuery的数据处理中,有相当多的一些功能使用起来非常方便,对应于企业级的SSIS,反而缺少了这些的灵活性,真正要完全使用SSIS来实现,非常繁琐。如PowerQuery里的逆透视功能,行列转置功能,标题行提升功能等。
为 Word 和 Excel 文档添加了狡猾的远程模板注入器;独特的 Outlook 群发邮件宏
声明:本文为F-Secure报告翻译,文中及的观点立场不代表本网站观点立场。 1. 前言 本报告描述了我们发现并命名的木马-NanHaiShu(NanHaiRAT)。基于我们的技术分析表明,该木马
Cisco Talos最近发现了知名黑客组织74(又名Tsar Team,Sofacy,APT28,Fancy Bear…)的一种新型恶意行动,具有讽刺意味的是,这次行动中的使用的诱饵文件是一份有关美国网络冲突会议的Word文档。美国网络冲突会议由美国军事科学院,军事网络研究所与北约的网络军事学院和网络防御中心合作而共同开展,所以从这个文档的性质出发,我们认为这次行动主要针对网络安全从业人员或者是感兴趣的人。与之前发起的行动不同,这次的文档不包含Office exploit,也不包含0day,只有一个恶意的
在这个示例中,使用ADODB.Connection对象来建立与MySQL数据库的连接。将示例中的服务器地址、数据库名称、用户名和密码替换为自己的MySQL数据库信息。然后,你可以在打开连接之后执行各种数据库操作了。
在红蓝对抗或者国家某活动中,钓鱼是红队比较常见的攻击手段。通常的钓鱼手段包括exe文件的投递,自解压文件的投递,office系文件的投递等等。这几种文件投递的方式都能直接向对方电脑投递木马文件,但是现在的防守客户普遍使用了强有力的查杀手段,特别是针对exe等文件的查杀,这对木马文件的免杀提出了新的挑战(当然,免杀大佬请当我这句话没说过)。Office作为目前最常见的办公软件套件使用,因为它的普遍使用性可以作为我们从外网到内网的一个突破口,但是目前我在GitHub找到现有的一些项目在面对国内使用的三大杀软显得应付有些吃力,所以才有了自己编写一个工具进行bypass的想法。
Office 版本历经十几年的变迁,现已趋于成熟,但仍存在着新老版本交替使用的问题。Office 97-2003 Word 的文件后缀为 doc,新版本的 Office 文件后缀为 docx,包含宏的文档后缀为 docm。微软是不会允许将包含宏的文档命名为 docx,但是可以被命名为老版的 doc。例如一个 docm 文件,文件头的魔数是 504b0304(ZIP 文件的魔数),修改其后缀为 doc 后,文件头的魔数不变,且能够正常执行。而老版的 doc 文件头的魔数是d0cf11e(docfile 的十六进制表示 ^_^),所以我们可以通过文件后缀和魔数是否匹配来判断一个文档是不是恶意的。
昨天发布第1篇连载后,受到了大家的热烈响应和鼓励。在此特别说明,这里发布的文章仅仅为学习笔记,略去了书中一些我认为无关紧要的文字,或者稍作修改,并且有些地方加上了我自己学习感悟,有兴趣的朋友可以对照原书研读。此外,如有侵权,留言告知,我会删除。
之前我一直以为,python对OFFICE的自动化,相较VBA的话,是有限的,就像openpyxl那样,需要有人去不断地追加维护才行。
上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。
实时数据库是数据库系统发展的一个分支,它适用于处理不断更新的快速变化的数据及具有时间限制的事务处理。实时数据库技术是实时系统和数据库技术相结合的产物,实时数据库系统的主要内容包括:
透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个十分活跃的APT组织,其活动可以追溯到2013年。
前言 Proofpoint的安全研究员发现并分析了这个新型恶意软件并命名为NerbianRAT,此恶意软件使用了反分析和反逆向功能,该恶意软件是使用Golang编写的64位程序,主要传播方式为冒充世界卫生组织发送的COVID-19相关的安全措施邮件,通过邮件附件中有VBA宏的Word文档传播。 样本运行流程 样本IOCs 名称:ee1bbd856bf72a79221baa0f7e97aafb6051129905d62d74a37ae7754fccc3db.doc 大小:280469 字节
AutoCAD(Auto Computer Aided Design)是美国Autodesk公司研制开发的一款计算机辅助设计软件,它不是一款简单的绘图工具,而是一个复杂的计算机辅助设计系统。我们可以根据他灵活的开放性对其进行二次开发定制,让它更加适用于某一具体的设计领域。 中文名 AutoCAD 二次开发 外文名 AutoCAD Development System 目 的 提高效率建立适合本行业的平台 ADS 已经淘汰的一种开发AutoCAD环境 AutoLISP 语言的优点是语法规则简单 VisualLISP 引入面向对象的LISP开发环境
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
—个HTML Application (HTML应用)是一个使用HTML和一个Internet浏览器支持的脚本语言编写的Windows程序。该程序包生成一个HTML应用,该应用运行一个CobaltSt rikepayload。你可以选择可执行的选项来获取一个HTML应用,此HTML应用使得一个可执行文件落地在磁盘上并运行它。
大家好,又见面了,我是你们的朋友全栈君。目前支持OPC服务器的组态软件有很多种,其中四种软件即:Intellution公司的iFIX(3.5)、GE公司的Cimplicity(6.0)、Wonderware公司的InTouch(9.5)以及Siemens公司的WinCC(6.0)应用最广、功能最强。Intellution公司和Wonderware公司是专门从事监控软件工作的,在市场占领绝大部分份额;Cimplicity和WinCC是GE和Siemens公司自动化产品的配套产品。下面就把这四种主要软件作比较。从中选取一款作为此系统的OPC服务器。 1.iFlX 支持双向OPC支持所有类型的ActiveX、OLE,对不健全的控件所引发的错误进行保护,对控件的属性操作完全控制。有全面解决扩展点的报警、报警记录、历史记录的方法,有查找替换功能,可以替换整个图画以及画面中的对象的属性、组态点信息,对于同类型物体,避免重复组态。内嵌VBA,具有自己的内部函数,又有广泛的VB函数,功能扩展更为有利。编辑与运行是切换进行的,这有利于对现场生产安全的保障;有独立的报警监视程序,支持在线修改,具有画面分层功能,运行时可以根据程序很方便地更换对象的连接数据源,可以使控制更灵活。支持Oracle、SQL Server 2000、Access等关系型数据库。 2.Cimplicity 支持OPC服务器,编辑与运行分开,有独立的报警、历史趋势运行管理程序,内嵌VBA,具有自己的内部函数,又有广泛的VB函数,组VBA与通用运行方式不一样,支持ActiveX、OLE插入,但对控件其中的一些属性进行了锁定。点的扩展功能与iFIX一样强大,但对于扩展点的报警设定比较难解决,输出问题,历史记录是没问题的。支持Oracle,SQLServer 2000,Access关系型数据库。 3.InTouch: 提供双向OPC支持,支持ActiveX控件,但不具有第三方控件的出错保护,不健全的控件会造成系统出错。采用有限的内部函数,其功能也只是常用监控的功能,复杂一点的功能如报表就只能借助于其他工具。支持关系型数据库。 4.WinCC 双向OPC支持,支持ActiveX。使用内部语言,环境如同C语言。同样使得其功能扩展变得容易。最新的WinCC 6.0只支持连接SQL2000数据库。 5.OPC服务器的选择 WinCC与Cimplicity分别是西门子与通用电气公司推出的适用于配套产品的监控套装软件,因此支持各自公司的硬件产品,有很大的局限性,而iFIX、InTouch是基于组件对象技术(COM、DCOM),几乎针对工业应用的所有硬件都有接口,更实用于现场,应用上稳定性更好。其通信设计很方便,打通通讯相对比较容易。其中iFIX包括广泛的OLE、OPC和ActiveX客户和服务器支持。该软件最主要的优点是很容易地在iFlX中集成第三方的对象和控件,并且把iFIX对象嵌入到其它应用程序中。此外,iFIX ODBC提供关系数据库与过程数据的通讯。所以最终选择iFIX为此集成方案的OPC服务器端软件,结合半导体测试设备的驱动可以读取晶圆的测试数据。实现了利用OPC技术对设备的数据的读取,iFIXODBC采集和插入过程数据到关系数据库的过程。OPC服务器端软件iFIX支持三种关系型数据库:MSAccess、MS SQLServer 2000和Oracle数据库。
经常给大家推荐好用的数据分析工具,也收到了铁子们的各种好评。这次也不例外,我要再推荐一个,而且是个爆款神器。
邮件钓鱼通常出现在APT攻击里面,但是在日常生活中我们的邮箱也会经常出现一些钓鱼邮件,为了更好的了解原理,我在本地探索了一下宏上线钓鱼邮件,分享出来供师傅们交流。
语法上和VBA差异挺大的,里面有let关键字,这个其实和VBA倒是差不多,在VBA里我们一般这么用:
Excel文档是十分常见的办公软件,一旦被黑客盯上,足以让大批量的用户中招。用相同的Excel文档混淆用户视线,表面“波澜不惊”,实则“暗藏危机”。
在执行下一段代码之前,如果需要暂停Excel VBA代码运行,该如何做呢?本文探索在Excel VBA中添加暂停的最佳方法。
近期 Fortinet 研究专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种,而变种传播是通过特制的 Microsoft Word文件进行的。 Agent Tesla 是一种用来收
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
最近几个月,我们发现使用恶意Microsoft Excel 加载项(XLL) 文件感染系统的恶意软件活动有所增加。这种技术在 MITRE ATT&CK 中被跟踪为T1137.006。此类加载项背后的想法是它们包含高性能函数,并且可以通过应用程序编程接口 (API) 从 Excel 工作表中调用。与 Visual Basic for Applications (VBA) 等其他脚本接口相比,此功能使用户能够更强大地扩展 Excel 的功能,因为它支持更多功能,例如多线程。但是,攻击者也可以利用这些功能来实现恶意目标。
有小伙伴向我反映到,本系列前面的章节主要还是在讲 pandas ,几乎与 xlwings 没有啥关系。
1999年创业的Salesforce,在2007年发明了类Java的APEX商业应用开发语言供应用商店开发合作伙伴用。但这几年也在推Lightning低代码平台。
每当有人发布关于 python 处理 Excel 数据的文章,总会有人只看了标题就评论:
“海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。
为何会慢这个问题,可能就没有深入研究过,而笔者用自己不专业的语言表达下原因,是因为VBA或VSTO等代码与Excel交互是用的是COM的通信,这个COM通信非常臃肿,遍历过程中,不断地来回通信,产生了十分低效的性能。
这是Office 365开发系列文章的第一篇,我会帮助大家回顾一下过去Office开发的一些场景,目前提供的一些能力,最后展望一下生态环境建设和未来的发展。
最近有个需求,ERP系统会自动发很多csv附件到我邮箱,我需要把这些附件上传到FTP服务器,服务器会把这些csv的数据写到另外一个系统的数据库。 每次大概有30个邮件,每个邮件有一个附件,而且附件的名字都一样,是一个csv的文件,我每次需要手动的把附件另存为一个新名字存到本地,然后FTP上传。 每次大概要浪费我10分钟时间,而且毫无价值。 于是我就写了一个VBA的自动处理程序,几秒搞定。
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了APT组织Fin7 / Carbanak的Tirion恶意软件,包括OpBlueRaven行动。这篇文章将介绍一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。其中,DllMain函数反分析检查,以确保它不在分析/沙箱环境或调试器中运行非常值得我们学习。
VBA提供了一些出色的工具来帮助你查找和修复程序bugs。本课程将讲解什么是bugs、如何处理它们,并介绍一些与发布应用程序有关的因素。
还和Anaconda达成了合作。各种常见Python库都能直接用,如Matplotlib、Seaborn等。
以前,Excel和Python Jupyter Notebook之间我们只能选择一个。但是现在随着PyXLL-Jupyter软件包的推出,可以将两者一起使用。
要使用Excel VBA修改MySQL数据库中的记录,可以使用ADODB.Connection对象执行SQL UPDATE语句。以下是一个示例代码,演示如何执行修改操作:
继上次我写了个PHP脚本抓取我的一卡通消费记录(用PHP爬取个人一卡通的消费记录)之后,我遇到了一些奇怪的问题。比如说,我统计上个学期的一卡通的花费的时候竟发现少算了400+RMB,百思不得其解。直到前段时间我才发现,原来学校的这个网站查询到的信息是不完整的,有些记录竟然会有缺失,后来我请教了负责这一块的老师,老师表示大概是学校里面某些一卡通的消费机离线时间太长,消费记录没有同步到服务器上,所以造成了这个问题。
DVenom是一款功能强大的Shellcode加密封装和加载工具,该工具专为红队研究人员设计,可以帮助红队成员通过对Shellcode执行加密封装和加载实现反病毒产品的安全检测绕过。
前言能生成 pandas 代码的数据浏览工具工具安装加载数据直觉理解运行机制进一步完善充分利用 Excel 功能最后
在SSDT中开发SSAS数据模型,整体体验是非常棒的,继承了微软一贯的图形化界面操作的友好度,特别是对Excel和PowerBIDeskTop群体来说,无缝过渡到SSDT的操作。
研究人员近期发现了APT34利用新工具集进行的网络活动。根据此次发现的网络钓鱼文件,伊朗黑客组织将美国Westat员工或Westat提供服务的组织作为攻击目标。Westat是一家美国公司,为美国政府机构以及企业,基金会以及州和地方政府提供研究服务。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
