前言 攻击者可能发送带有恶意附件的钓鱼邮件,诱导受害者点击从而获取对方的系统控制权限 期间会借助 Atomic 工具完成攻击复现,再对具体的过程细节进行分析取证,然后深入研究.剖析其行为特征 最后输出检测规则或者 dashboard,作为本次威胁狩猎活动的产出 PS:注意,这里只是提供一种检测思路,测试过程均在实验环境下完成,并不代表实际工作效果 分析取证 在对特定攻击活动做数字取证(Digital Forensics)的过程中,通常我会采用漏斗状的思维模型,一步步缩小观测范围,聚焦目标行为特征…

Office宏病毒学习第一弹--恶意的Excel 4.0宏 前言 参考:https://outflank.nl/blog/2018/10/06/old-school-evil-excel-4-0-macros-xlm/ 弹药库 初始化 可以通过首先插入类型为" MS Execel 4.0 Macro"的新表来对Microsoft Excel Spreadsheet进行武器化处理: 1.右击表单插入一张 4.0宏表 2.在第一个单元格和下面的单元格分别写入 =EXEC("cal…

使用github开源工具EvilClippy进行宏病毒混淆免杀:https://github.com/outflanknl/EvilClippy/releases 注意需要将这两个文件下载在同一个文件夹下,不要只下载EvilClippy.exe而忘记下载OpenMcdf.dll: 关于evilClippy,有: EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度.当前版本的Ev…

关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率.微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力.如完打开word文件同时要打开某个文件的功能,必须要自己编写一段称之为宏的脚本.具体做法是在"工具"菜单"宏"-"宏"弹出的对话框输入宏名,然后按"创建"按钮会打开visual basic编辑器,你就可以编程了,这个就是宏.学会它会有很多乐趣的.玩…

#region 检测Office是否安装 ///<summary> /// 检测是否安装office ///</summary> ///<param name="office_Version"> 获得并返回安装的office版本</param> ///<returns></returns> public static bool IsInstallOffice(out string office_Version, o…

原文  asp.net中通过注册表来检测是否安装Office(迅雷/QQ是否已安装) 检测Office是否安装以及获取安装 路径 及安装版本  代码如下 复制代码 #region 检测Office是否安装     ///<summary>     /// 检测是否安装office     ///</summary>     ///<param name="office_Version"> 获得并返回安装的office版本</param> …

在这篇文章里面,我将向大家介绍如何在.Net中访问Office所公开的编程接口.其实,不管是使用哪种具体的技术来针对Office进行开发(比如VSTO,或者用C#编写一个Office Add-in,或者在一个WinForms程序中调用Office的功能,甚至在一个ASP.NET应用的服务器端启动一个Excel进程),只要是基于.Net平台,这篇文章所描述的内容都是有价值的. 在这篇文章以及后续的文章中,所有的演示都将基于Office 2003 Professional和Visual Studio…

针对于第一篇文章所讲的,我们最用使用用户可以单个点击进行安装,但是如果我们终端用户太多的情况,不可能大家都点击单个文件进行安装了,这样子既耗费时间也耗费 公司的网络带宽,那么我们可以采取离线下载的方式进行批量部署安装.操作步骤如下: Office365离线批量部署方法 本文介绍如何批量部署Office365客户端的方法,主要包含5部分: 离线包的获取 离线包的安装 批量部署的建议 激活的建议 附录 1.  离线包的获取 1.1. 下载安装Office即选即用部署工具 从以下链接下载微软官方Off…

Microsoft Office 2010,是微软推出的新一代办公软件,提供了一些更丰富和强大的新功能,开发代号为Office 14,实际是第12个发行版.该软件共有6个版本,分别是初级版.家庭及学生版.家庭及商业版.标准版.专业版和专业高级版,此外还推出Office 2010免费版本,其中仅包括Word和Excel应用.除了完整版以外,微软还将发布针对Office 2007的升级版Office 2010.Office 2010可支持32位和64位vista及Windows7,仅支持32位Win…

原地址:http://www.chinaaet.com/article/index.aspx?id=114534 关键词:疲劳检测DSP亮瞳效应PERCLOS 摘  要: 针对汽车驾驶员疲劳驾驶检测的要求,设计了一种基于图像处理DSP芯片DM6437的疲劳驾驶视觉检测系统.通过DSP的GPIO口用软件控制摄像头轴上和轴外的两种不同波长的近红外光源(850 nm/950 nn)交替采集驾驶员图像,根据亮瞳效应两帧图像差分后粗定位人眼,用模板检测提取人眼的边界,根据PERCLOS值方法判断驾驶员是否…