提取文件中的恶意宏

sudo pip install -U oletools
olevba -c <path/to/document>

需要绕过隔离属性，和sandbox

沙箱绕过

使用 .slk file 运行文档后会直接运行没有警告

然后利用恶意命令在登陆项创建启动文件，这样可以在 sandbox 上下文间运行，从而绕过 sandbox 检测

隔离属性

因为运行存在隔离属性，所以利用 zip 文件的一个特性，来创建恶意的运行脚本，实现持久化利用

重启登陆时会后台进行解压 zip 文件，创建一个启动代理，下次登陆时会登陆代理，使用我们的参数自动执行，参数可以保存在属性列表（创建后门

未经隔离的文件，不收Apple 公证要求的限制

Apple 新的端点安全框架

创建一个进程监视器

来监测我们的可疑子进程（比如软件创建的恶意子进程，excel 的也是