北京工业大学,二级建造师,e站-大坑视线-专注闭坑-重新发现价值

频道:我们的头条 日期: 浏览:277

*严正声明:本文仅限于技能评论与共享,禁止用于不合法途径。

今日给我们介绍的是一款名叫EvilClippy的开源东西,EvilClippy是一款专用于创立歹意MS Office测验文档的跨渠道安全东西,它能够躲藏VBA宏和VBA代码,而且能够对宏代码进行混杂处理以添加宏剖析东西的剖析难度。当时版别的EvilClippy支撑在Linux、macOS和Windows渠道上运转,完成了跨渠道特性。

功用介绍

1、 在GUI编辑器中躲藏VBA宏;

2、 混杂安全剖析东西;

3、 VBA Stomping;

4、 引进VBA P-Code伪编码;

5、 设置长途VBA项目确定维护机制;

6、 经过HTTP供给VBA Stomped模板;

东西作用

现在,该东西生成的默许Cobalt Strike宏能够绕过一切干流的反病毒产品以及宏剖析东西。

技能剖析

EvilClippy运用了OpenMCDF库来修正MS Office的CFBF文件,并利用了MS-OVBA标准和特性。该东西重用了部分Kavod.VBA.Compression代码来完成紧缩算法,而且运用了Mono C#编译器完成了在Linux、macOS和Windows渠道上的完美运转。

东西装置

注:跨渠道编译代码能够在该项意图releases页面下获取。

macOS和Linux

保证装置了Mono,然后运转下列指令:

mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后运转EvilClippy:

mono EvilClippy.exe –h

Windows

保证装置了Visual Studio,然后在Visual Studio开发者指令行窗口中输入下列指令:

csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后在指令行中运转EvilClippy:

EvilClippy.exe –h

东西运用

显现协助信息

EvilClippy.exe –h

在GUI中躲藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp(P-Code伪编码)

EvilClippy.exe -s fakecode.vba macrofile.doc

为VBA Stomping设置方针Office版别信息

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

设置随机模块名(混杂安全剖析东西)

EvilClippy.exe -r macrofile.doc

经过HTTP供给VBA Stomp模板;

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

设置长途VBA项目确定维护

EvilClippy.exe -u macrofile.doc

免除维护:

EvilClippy.exe -uu macrofile.doc

项目地址:(https://github.com/outflanknl/EvilClippy)

* 参阅来历:outflanknl,FB小编Alpha_h4ck编译,转载自FreeBuf.COM