本质上,XLL 文件是包含名为xlAutoOpen的导出函数的 DLL 。我们看到的最常见的恶意 XLL 文件类型是使用名为Excel-DNA的合法软件项目生成的文件。...这包括 Excel-DNA 项目组件以及加载项,在本例中是恶意软件释放程序。您可以通过查看资源名称或同样存储在资源部分中的 XML 定义文件来识别包含 Excel 加载项代码的文件。...图 5 – Excel-DNA XML 定义。 在此示例中,包含恶意代码的加载项是在 .NET 中开发的,位于MODDNA资源中。...image.png 图 7 – Excel-DNA 提取脚本。 自定义生成的加载项 我们最近还发现了其他类型的 XLL 恶意软件,它们不使用 Excel-DNA 生成加载项。...为了创建这些文件,攻击者很可能使用图 1 所示论坛中宣传的构建器。我们发现许多恶意加载项是使用 Excel-DNA 生成的,但是,我们分析的一些 XLL 恶意软件是定制的更多地使用加密来掩饰其功能。
△ 构建工具截图 EXCEL-DNA 生成加载项 发现的 XLL 文件大部分都有相同的结构,本质上说,XLL 文件是包含 xlAutoOpen导出函数的 DLL 文件。...这些 XLL 文件应该是使用 Excel-DNA工具生成的,包含多个大型的资源。...△ 文件资源段结构 其中包含 Excel-DNA 项目组件以及加载项,可以通过查看资源名或者同样存储在资源中的 XML 定义文件来识别包含 Excel 加载项的 XLL 文件。...△ 提取 XLL 文件 自定义生成的加载项 其他不使用 Excel-DNA 的 XLL 文件中,一个 Downloader 大小只有 4.5 KB,但吸引了研究人员的注意。...与其他 XLL 文件一样,该文件也具有导出函数 xlAutoOpen。为了混淆程序控制流,样本中包含许多连续的 jmp指令。 △ 动态调试截图 经过分析后,研究人员发现可执行代码后有一段加密数据。
FreeScript是Excel催化剂最新打造的一款xll插件,可以让Excel/WPS在VBA/JSA环境下,调用外部脚本代码如:javascript/JScript/VBScript/C#/PowerShell...开发已大部分完成,等待部分优化性能环节(python调用计划中,未实施)。...在安装部署环节,前期使用了xlsm文件方式,嵌入安装包内容,通过VBA/JSA方式释放出安装文件并使用Application.Addins.Add方法安装。...2、安装过程中,需要对文件改名和选择性文件安装 如32位的,只安装addin.xll和addin.dna,64位的只安装addin64.xll和addin64.dna,同时对文件进行改名,变成FreeScriptFroExcel.xll...3、提供多个自定义选项,供用户选择安装指定位数和Excel还是WPS版本。 4、注册表的写入操作,让安装完,打开Excel/WPS就自动可用,不用去加载项清单里勾选。
例如,EasyShu插件中的图表分类,使用动态加载方式,模板搭建好后,后期轻松管理,并且最终整个功能区的元数据如引用图片、描述说明文本、绑定方法等均可在Excel工作表上维护(本demo未进行此复杂化处理...四、自定义函数示例 ExcelDNA最大的魅力,莫过于用于开发自定义函数,简单易用,并且用户体验也是最棒的,智能提示效果是VBA或VSTO开发所不能及的。...同时Excel催化剂的自定义函数,也在3年前已经在github上开源了,想了解更多函数的算法或动态数组函数的开发,可自行到github上下载临摹。...,但相对ExcelDNA来说,其优势已经越发少了,特别是在笔者给大家搭建好整个项目框架,只需往里填充代码,开发完成,也是一键生成项目即可发布打包好的xll文件,只需交互此xll文件,用户双击即可使用。...需要注意的是,如果引用了外部dll,需要在dna文件上引用一下,在打包时才会包含它,最终只使用packed.xll文件即可运行插件。
题外话 本人也是从Excel的VBA语言入门了编程世界的,然后很偶然的机会接触到VSTO,并且在一位热心的网友一路的帮助下,算是入门了C#语言,现在可以灵活地用C#实现自己想要的一些小功能(大部分是抄百度和...在VBA代码中调用加解密函数方法 说到重点,VBA开发者可能更多场景还要回到自己在VBA代码中想要调用其他语言开发好的函数,例如此篇的自定义函数。...能够使用Application.Run来调用的前提是自定义函数的加载项已经被加载,即xll文件已经被Excel加载进来。...总结 在我过往发表的众多自定义函数里,大部分直接照搬了.Net Framework类库里的函数,让其能够在Excel环境以自定义函数的形式来使用,当中也收到许多反馈说能用自定义函数的人都自己写VBA代码...最后抛一个刚刚接触到的知识点,用xll的方式开发自定义函数,可以使用多线程功能,函数性能更佳,当然前提是函数符合多线程规范下。
顺便给大家介绍下,一个同样精彩的开发方式,使用Excel-DNA开发自定义函数加载项。...面向对象编程,代码管理更方便,其实本人也不太有面向对象的编程思想,不能编出给其他人用的类,但却可以源源不断地用别人封装好的类库,属于编程群体中的使用者,非制造者。 2....开发自定义函数的利器,VSTO开发自定义函数在发布给用户机器使用时麻烦,要对注册表注册,需要管理员权限,但Excel-DNA开发的完全没有这些烦恼,用户双击即可打开使或进行加载项载入,下次打开Excel...可以对自定义函数进行用户输入提示功能,效果和原生的工作表函数的提示功能接近,这是VSTO和VBA开发所没法做到的。 1.7....用户发布友好,直接一个xll文件发给用户,用户不需安装即可使用,无需管理员权限,无需访问注册表权限,和xlam加载宏的效果一样。 1.10.
XLL可以用C、C++或C#编写,与VBA宏相比,它提供了更多的灵活性和功能(以及健全性),这进一步使它们成为了攻击者的一个理想选择。...但不幸的是,许多组织已经落后多年,因此XLL在一段时间内将一直是一种可行的网络钓鱼方法。 有一系列不同的事件可用于在XLL中执行代码,其中最著名的是xlAutoOpen。...必须记住的是,作为可执行文件的XLL是特定于体系结构的,这意味着你必须了解你的目标,即根据目标组织所使用的Microsoft Office/Excel版本来决定构建何种体系架构的Payload: Office.../Excel2013XLL*SDK/INCLUDE/ 向右滑动,查看更多) 编译完成后,你需要新建一个文件夹,然后把XLL拷贝到这个文件夹中,然后使用下列命令进行压缩: zip -r .zip / 请注意,你还需要将代码片段中的一些变量与你命名的XLL和zip文件相匹配。
Excel新函数好是好,但如果不止自己在用时,当要分享时就有大问题,所以使用外部自定义函数的方式,更有推广价值,只要简单安装下自定义函数,就可以使用起来。...而使用ExcelDNA开发的自定义函数,几乎没有缺点,安装超级简单,成功率是99.9%(可以直接把xll发给用户机器,只要OFFICE位数对应上,直接双击就可以运行)。...Excel催化剂有使用VSTO框架开发的功能,也有使用ExcelDNA开发的自定义函数,如果觉得安装Excel催化剂有困难,完全可以只使用笔者开发的自定义函数,几乎所有电脑都可以安装成功并使用,不需要管理员权限...为了让大家可以使用上XLOOKUP与XMATH,现将其集成在Excel催化剂自定义函数里。...Excel催化剂过往的自定义函数中,也实现了一版VLOOKUP函数的增强,有兴趣的也可以使用下,详细见以下推文: Excel催化剂功能第38波-比Vlookup更好用的查找引用函数 略显遗憾,本次将代码搬到
为了还原一个干净无侵扰的网络世界,本文将不进行大规模地分发,若您觉得此文有用,不妨小范围地分享到真正有需要的人手中 Excel插件的部署问题难倒了不了的用户,特别是VSTO的部署,用ExcelDna开发的...xll文件部署方便,不挑用户机器环境,是其开发Excel插件的一大优势。...其开发出来的xll文件,最终还是需要考虑用户机器Excel位数的问题,32位的Excel安装32位的xll文件,同理64位安装64位的xll。...如何判断用户机器是32位还是64位的OFFICE,并将对应位数的xll文件安放到用户机器上,这个问题之前笔者曾经花时间找过资料,最终实现了想要的功能效果。...{ class Program { private static string dstFileName = "ExcelUdf.xll";//用户电脑上的文件名
Excel催化剂自定义函数功能在Excel加载项上勾选 若以上两步未能如期找到截图所示的插件,请到【文件】=》【选项】下的Excel选项中的【加载项】中,查找是否Excel催化剂插件在【禁用项目】里,若在的话...禁用插件后的重新启用方法 三、插件能否在WPS上使用 理论上若WPS支持插件操作的部分功能是可以在WPS上使用,其中自定义函数WPS只有32位,只能使用32版的自定义函数,且不能使用数组函数返回多个值。...自定义函数报错 从硬盘中搜索自定义函数文件,一般路径如下: C:\Users\{用户名}\AppData\Roaming\Microsoft\AddIns\自定义函数ByExcel催化剂.xll 将此文件删除...,然后使用【Excel催化剂】Tab里的【更新配置文件】按钮或从群文件下载对应Excel位数的自定义函数xll文件到对应的加载项文件夹内。...群文件内有对应位数的xll自定义函数文件 查看Excel的位数的方式如下图: ? 查看Excel的位数 六、安装成功后使用某些功能提示文件缺失。 ?
Excel-DNA开发自定义函数,把整个.net的庞大资源搬到Excel里面,开发效率高,只需要简单几段代码,把原生的.net给我们做好的各样的类库函数、方法,照搬过去,同时,还有庞大的外部.net程序员给我们写好的大量的现成的函数...最终只需要给用户一个文件(已经把多个文件打包好),用户最简单的双击就可以立马使用,录个小视频告诉用户或以在加载项里把文件加载进去,不需每次双击打开,用户可以回到熟悉的工作表函数里输入一个简单的函数,只需理解什么叫参数...因为这个自定义函数写了好一阵子,加上我只是个三流程序猿的水平,具体的代码实现的细节,可能是比较糟糕的,大家在百度上随便搜搜的代码出来都比我的代码来的漂亮(其实我也百度抄了很多代码在里面)。 ?...自定义函数里我大概写了些描述,大家有兴趣的话,可以下载我的xll文件到自己机器里测试下。...以下为将会分享的内容: 1、现成的xll文件,可以在安装了.net4.0环境的任何版本的OFFICE上运行。 2、关键的数组函数异步功能实现的代码和智能提示实现的代码。以下图红圈部分。
在过去网页采集功能开发过程中,已经推出一组针对网页元素的提取函数,将网页采集常见的json文件和html文件进行指定元素内容的提取。可满足绝大部分场景使用。...在html文件提取中,其实用的是xml提取技术,使用xpath语法去提取指定内容(也扩展了能够使用CSS的selector方式来提取)。...Excel催化剂自定义函数解决方案 接上述所说到的,本次的提取带命名空间的xml文件自定义函数,放到过往的网页采集函数组中,形成功能连贯性,虽然不完全针对网页采集使用。...自定义函数的下载地址仍然提供给大家,方便某些电脑不能安装Excel催化剂插件的人使用,只需下载到自定义函数,根据自己Excel的位数不同选择32位xll还是64位xll,双击即可打开,绿色免安装。...让Excel加载时检测到或手动在加载项清单上进行【浏览】选择操作,选择电脑上存放的xll文件,特别是电脑上安装了64位Excel和32位WPS时,文件不放到插件文件夹内,WPS不自动加载就不会报错。
理论上若WPS支持插件操作的部分功能是可以在WPS上使用,其中自定义函数WPS只有32位,只能使用32版的自定义函数,且不能使用数组函数返回多个值。...出现此问题是因为Excel的位数和自定义函数的位数不同引起,请注意以上第三点提到的WPS只有32位,如果同时安装WPS和Excel,可能本地下载到的是64位的自定义函数,WPS打开时加载此自定义函数必定报错...自定义函数安装的位置为:C:\Users\{用户名}\AppData\Roaming\Microsoft\AddIns\自定义函数ByExcel催化剂.xll,不想报错,可以删除此文件即可,不好找,也请记得用...id=5842一般64位的系统选择X64即可,32位的系统选择X86 八、插件安装完成了,也正常使用了,但没找到某个新发布的自定义函数 自定义函数用xll文件来安装,因插件自动检测xll文件新旧程度的功能普遍群友好映不友好...如果没有找到新的函数,请使用功能区【Excel催化剂】TAB下的第2个按钮【更新配置文件】,把最新的xll下载到本地。下载完成后,需要重新关闭所有Excel文件,再重新打开Excel文件才能生效。
【主要感染链】 该攻击行动以被劫持的电子邮件开始,诱使受害者点击 URL。该 URL 地址也增加了访问限制,只有满足攻击者设定要求(位置与特定浏览器)的用户,才能正常获取到恶意 Payload。...PikaBot 支持多种检测规避技术,避免沙盒、虚拟机以及其他调试技术。独联体国家被排除在外,不会被该恶意软件感染。...Excel-DNA Loader 最早在 2012 年才出现,是一种比较新的投递机制,结合使用 Microsoft Excel 加载项来下载与运行恶意 Payload。...Excel-DNA-Loader:创建 XLL 文件作为 Excel 文件加载项,攻击者将其作为访问 Payload 的方式。...攻击者重新调整了 LNK 文件的用途,使其可以在 Windows 环境中运行可执行脚本。 总结 攻击行动是先进的、精心设计的,并且从出现开始就在不断进化。
Excel新函数好是好,但如果不止自己在用时,当要分享时就有大问题,所以使用外部自定义函数的方式,更有推广价值,只要简单安装下自定义函数,就可以使用起来。...而使用ExcelDNA开发的自定义函数,几乎没有缺点,安装超级简单,成功率是99.9%(可以直接把xll发给用户机器,只要OFFICE位数对应上,直接双击就可以运行)。...Excel催化剂有使用VSTO框架开发的功能,也有使用ExcelDNA开发的自定义函数,如果觉得安装Excel催化剂有困难,完全可以只使用笔者开发的自定义函数,几乎所有电脑都可以安装成功并使用,不需要管理员权限...Excel催化剂过往的自定义函数中,也实现了一版VLOOKUP函数的增强,有兴趣的也可以使用下,详细见以下推文: Excel催化剂功能第38波-比Vlookup更好用的查找引用函数 在OFFICE365...下面截图为原生的XLOOKUP函数 这样的好处在于,在各个Excel版本里,都可以直接输入XLOOKUP/XMATCH,当文件分享给低版本Excel打开时,只要其电脑已安装了Excel催化剂自定义函数
VBA调用自定义函数原理 在工作表自定义函数的开发中,存在两种类似的自定义函数,一种是存储在xlam或xlsm上的,一种存储在xll文件上的。其开启关闭都在Excel普通加载项处,如下图所示。 ?...在VBA代码中,调用工作表自定义函数,只需要使用Application.Run即可,如果有参数就传入参数。具体的使用说明见下图官方文档。...第一个参数是宏名称,即自定义函数名称,其他参数为自定义函数使用的参数。 能够使用Application.Run调用加载项的自定义函数的前提是此加载项已经在启用状态,否则是不能生效强行调用会报错。 ?...模块1.testFunc") 注意:在xll文件中的自定义函数没有全名的概念,所以还是保留着只引用函数名的调用方式,如果有重名,笔者也不知道会出现什么情况,有兴趣的读者可以自行测试 VBA调用Excel...催化剂开发的自定义函数效果 因为Excel催化剂使用.net技术开发了大量的自定义函数,所以在VBA的开发过程中,完全可以复用这些的函数,减少自己的代码量,同时因为使用了.net技术,许多在VBA里难以实现的算法
Clickonce无痛自动更新是我最喜欢使用VSTO开发并Clickonce部署的特性之一,但这个自动更新,通常会更新整个程序文件,包含所有的引用dll和一些资源文件等。...一般来说,我们更新的都是主程序,那些引用dll和资源文件,除非是发布时的版本的确更新了,才有必要更新到用户的机器上,不然动不动所有文件都一起更新,更新需要下载的文件数量也太大,等待时间也太长,最终反而变得用户体验不够完美...资源文件的问题还比较好解决,只要不把资源文件内嵌到程序集中,然后通过手动下载或程序代码自动检测有新增或更新就下载到用户机器上(Excel催化剂原来是采用代码在程序运行时比较再自动化下载,无奈部署的是外网服务器...手动更新的文件大小达30多M Excel催化剂单独更新的文件,不用Clickonce更新 可以看到引用了好多大部头的dll和资源文件,例如让Excel读写更快速的NPOI和EPPLUS库、PowerBI...,会发现,Excel催化剂每次自动更新,都只更新核心的程序dll,其他文件尽可能地放到手动更新上让用户按需更新,最终实现了ClickOnce的自动更新模式下的升级瘦身工作。
Magnat——这个名字源于该活动恶意软件构建路径中的用户名——一直在使用假软件安装程序作为诱饵,说服用户在他们的系统上执行恶意软件,文件名包括viber-25164.exe和wechat-35355可执行程序...XLL加载项推送RedLine密码窃取恶意软件 网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件,以分发下载和安装RedLine密码和信息窃取恶意软件的Excel XLL文件。...RedLine是一种信息窃取特洛伊木马程序,它会窃取存储在Web浏览器中的cookie、用户名和密码以及信用卡,以及来自受感染设备的FTP凭据和文件。...XLL文件是一个加载项,允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展Excel的功能。...包括Linux内核在内的旧版本核心组件以及其他过时的服务很可能是攻击者利用的目标。 该报告还提到,供应商在路由器上使用简单的默认密码,这使他们很容易猜到。
传统和现代的菜单式功能布局已经到天花板了 在OFFICE2007后,采用了Ribbon的菜单方式替代传统软件的菜单方式,本想应该可以解决快速找寻特定功能的痛点,没想到,连Excel催化剂这样一个第3方小开发者开发出来的功能...不过非常遗憾的是,原生的这个功能,并非全能,例如搜索个常用的照相机功能,没结果。 最麻烦的是,低版本的用户永远没有这样的福利用得上。 轮到Excel催化剂出场了,功能有多强大,先上个动图感受下。...但此处的搜索函数,仅限于Excel催化剂开发的自定义函数,即电脑上运行了【自定义函数ByExcel催化剂.xll】这个文件后,才能起作用。...至于怎么安装自定义函数,已经已经有文章说过,不会时再群里问吧。 同样地这样的功能,需要动图来感受才知其震撼性。...搜索依赖于功能关键字的描述的丰富性,有意愿的粉丝们,不妨一同参与下,觉得Excel催化剂功能描述不全面的,帮忙补充下,让其他人可以更友好地使用上,可以署上您的大名。
当用户在office应用程序中主动启用宏时,威胁参与者便会使用VBAmacros自动运行恶意内容。XL4宏是特定于Excel应用程序的,但也可以被威胁行为者武器化。...XLL文件是一种用于Excel的动态链接库(DLL)文件,旨在增加Excel应用程序的功能。...Proofpoint已经观察到,至少有6个大型犯罪分子以及多个未归因的威胁集群在恶意软件交付中使用XLL文件,但XLL文件的使用明显少于其他文件类型,并且在整个威胁领域的使用没有明显上升。...OneNote使用量的下降可能是由于微软在2023年1月部署了一个补丁程序,以将Web标记(MOTW)属性添加到OneNote文件中。...观察到的文件类型包括PDF、LNK、虚拟硬盘(VHD)、ISO、OneNote、Windows Script File(WSF)和XLL。在许多活动中,使用多种不同的文件类型,例如VHD中的LNK。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
云直播
对象存储
腾讯会议
