本文大部分内容为收集整理。参考链接在文章最后面。
office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本。
Office2007之前的版本为OLE复合格式:doc,dot,xls,xlt,pot,ppt
Office2007之后的版本为OpenXML格式:docx,docm,dotx,xlsx,xlsm,xltx,potx
复合文档不仅包含文本,而且包括图形、电子数据表格、声音、视频等其他信息。使用面向对象技术,将非标准信息(如图像、声音)作为独立的、自包含式对象包含在文档中。
复合文档将数据分成许多流(Steams),流存储在不同的Storages里。符合文档采用NTFS(NT File System)格式。
流又分成更小的数据扇区(sectors)。数据扇区可能包含控制数据或用户数据。
整个文件由一个头结构(Header)结构以及Sectors组成,头结构确定了Sectors的大小,每个Sector的大小相同。
使用offVis对doc文件进行解析:主要包括4个方面Header、FAT、MinFAT、DirectoryEntry
固定512字节。记录了ole文件的关键信息。结构如下图,比较重要的字段前面会标*号
FAT为索引表结构,每一条记录中的内容是下一个扇区的地址。如下面的SECTOR[0]中记录了下一个扇区为1,SECTOR[1]中记录了下一个扇区为2,以此类推直到SECTOR[10]为一个链的结束。
特殊ID值扇区
复合文档中其实存放着很多内容,这么多内容需要有个目录,那么Directory就是这个目录。从Header中我们可以读取出Directory开始的SectorID,我们可以定位到这个位置(0x200 + sectorSize * dirStartSectorID)。Directory中每个DirectoryEntry固定为128字节。
Open XML是微软在Office 2007中推出的基于XML的文件格式,主要是满足文档文件被应用程序、平台和浏览器读取的能力。新的文件格式实际上是标准的ZIP文件格式,我们可以像打开其他ZIP文件一样来打开Open XML的文档文件,里面包含着XML文件、RELS文件以及一些其他文件。
文档结构
安装oletools
分析ole文档结构工具
olebrowse:浏览器的方式查看
olemeta:获取文档的属性数据,如作者,修改日期等
oletimes:查询每个streams和storages的修改时间
oledir:查询ole的directory entries信息
olemap:查看ole文档的整体情况,如header、fat、minifat等
分析ole病毒文档工具
oleid:检测ole文档中包含的内容,如是否被加密、是否有VBA脚本、Excel、PowerPoint、Visio、Flash
olevba:检测提取文档中的vba脚本,--decode:解密字符串,--reveal:将源码中的混淆字符串用解密字符串代替。
mraptor:检测恶意VBA脚本。A:自动执行,W:写文件或内存,X:执行文件或payload。
msodde:检测提取DDE/DDEAUTO链接
pyxswf:检测提取flash对象(SWF文件)
VBA代表Visual Basic for Applications,它是一个来自Microsoft的事件驱动的编程语言。 现在它主要用于Microsoft Office应用程序,如MSExcel,MS-Word和MS-Access。
最简单的VBA的编辑器就是office(word、excel等)
选项--->自定义功能区--->勾选开发工具
点击开发工具--->插入--->按钮控件
右键按钮控件可以修改控件的一些属性。双击打开编辑器,输入MsgBox "Hi,VBA!"
模块:编写代码的区域
函数:可以在程序的任何地方调用。Function和End Function关键字之间写代码
子过程:没有返回值。在Sub和End Sub关键字之间写代码。
注释:以单引号(‘)开头或者以"REM"开头表示注释
VBA变量&常量
命名变量的基本规则
变量名第一个字符必须为字母
变量名不能使用的字符:空格 ! @ & $ #
变量名长度不超过255个字符
不能使用VB保留关键字作为变量名
数字类型数据
非数字数据类型
VBA运算符
VBA条件判断和循环
VBA字符串
VBA数组
指定数组大小为5,从索引0开始,可以保存6个值,且可以保存不同类型的值
VBA事件
可以对很多事件写代码进行处理,如SelectionChange为选择框发生改变时触发
VBA文本文件
文件系统对象FSO:用于对驱动器、文件夹和文件进行操作
写入文件内容
Write命令
为了寻找样本进行学习(不是对office的漏洞进行分析),在any.run上设置type:Microsoft office ;tag:macros或者apt
样本来源:https://app.any.run/tasks/ba244852-4bad-41a4-9296-c24129ac92e1/
简单执行效果,提示linkSelectTmp.jpg不是可执行文件(存在写文件),cc服务器已经关闭
所以最终目标:1.分析出文档具体行为。2.找到cc服务器
linkSelectTmp.jpg打开如下图
提取vba
提取vba脚本 olevba.exe -c .\report.06.21.doc > vba.txt
分析VBA脚本
autoopen过程调用了functionVInteger和globView("")
functionVInteger:将文本的内容解密并写入c:\programdata\linkSelectTmp.hta
globView:执行shell("explorer c:\programdata\linkSelectTmp.hta")
collectException:读取文档中的文本,并通过'x'进行分割为数组
collectClassH:将数组与100进行异或解密
indexClassInit:将字符串进行与”c:\programdata\linkSelectTmp.hta“进行拼接
第一段加密代码分析
加密的数据如下
得到的hta数据
1.从vbMemoryCaption中获取数据并按"aGV5"进行分割得到rightHCur数组
2.buttProcLibrary函数根据uncSize中的字母表,进行base64解密
3.bytesLZero 为rightHCur[0],base64解密并翻转
4.arrMemory为rightHCur[1],base64解密并翻转,得到最后的脚本
第二段加密代码分析
1.访问目标网站,将得到的内容保存导c:\users\public\linkSelectTmp.jpg中
2.执行regsvr32 c:\users\public\linkSelectTmp.jpg
regsvr32.exe用于注册和取消注册Windows操作系统的DLL(动态链接库)文件和ActiveX控件。
因为网站已经404所以,linkSelecTmp.jpg内容并不是dll或者activeX控件
小结:
1.doc文档打开自动执行解密并写入c:\programdata\linkSelectTmp.hta
2.linkSelectTmp.hta解密vb脚本向http://alreadyhobbsd.com/adda/85489/8TDa/72770/minzp/NG49vxHs/XGLTiUezHK4cDgtD44adtgoNOrQHyFJMFzOoCdgm/22407/focy11?FIhI9=pJLRhq62ehgq7f&user=OUaxW4tg5&ifB1YRDc8=978SdZPHswwSXW5mjZR&search=GDqfURSpnhy4qlyqU2tc9PoB0F&page=27IsUCmeKvvZwmT5HhJmfRJ9Ec&page=TDbk1tB3clVvutYDwB7VmVbkCa&page=xZTfMUui5758c&cid=jlD3aw1PYoiLshUWO2PYN0xXA0Y&=EB24uYCj0FUY8g
发送get请求获取linkSelectTmp.jpg
3.linkSelectTmp.hta执行"regsvr32 c:\users\public\linkSelectTmp.jpg"
https://app.any.run/tasks/c9662466-6463-42b4-ba14-5dfb41a7f44b/#
在文档关闭的时候会自动关闭,所以优先关注Sub Document_Close()
使用oledump提取vba脚本,有很多注释语句,变量名也被混淆了,正好是个不错的样本。需要动态调试查看。
动态调试查看,点击视图开启立即窗口、本地窗口和监视窗口
Set nZsXAIAmrwsMOxkvh = gxUVYeacLIkNroPKoYAd.CreateTextFile(oCHIUZS, True, True),创建了一个文件,直接查看比较麻烦,通过设置断点,查看变量的方法可以容易的知道创建的文件为"C:\Users\abel\Downloads\deer.ini",后续要关注这个文件
接着上面就是大量的字符串拼接,之后应该会进行解密写文件操作,可以跳过这段代码下断点
UNMfYyPswUtPDcyphmZwEXyU先对字符串进行了base64的解密,再写入到了“C:\Users\abel\Downloads\deer.ini”文件中
执行生成的vba脚本
最后写注册表"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer", "wscript.exe C:\Users\abel\Downloads\deer.ini //e:VBScript //b", "REG_SZ"实现自启
deer.ini分析
创建一个word,启动visualBasic编辑器,并将beer.ini的内容复制进去。
首先创建了一个字符串"C:\Users\abel\deer.exe"
写注册表
使用WMI测试是否能ping通coagula.online
可以使用debug.print调试输出url,得到一个url“http://83.166.240.31/get.php?independent=”
可惜这个url已经关闭了,没法继续往下分析。
小结
1.word解密释放C:\Users\abel\Downloads\deer.ini(vbs脚本)
2.设置注册表"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer",设置自启deer.ini
3.启动deer.ini
4.设置两个注册表HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\AccessVBOM
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\VBAWarnings
5.获取coagula.online的ip
6.访问http://83.166.240.31/get.php?independent=,获取deer.exe内容(猜测)
对于提取到的vb代码可以新建文档动态调试。
https://app.any.run/tasks/63e3f841-6c52-454f-9d03-9d02883100ae/#
总所周知docx的文档是没有宏是安全的(漏洞除外),所以docx这类不存在宏的文档就安全了吗?这里还是从any.run上找了一个apt标签的office文档(因为apt标签用这个技术的比较多)
使用olevba进行查看并没有vba脚本,但是oleid显示存在External Relationships
oleobj可以检测到一个外部链接http://pokis-to.hopto.org/18FAB3F7/TKvrzJNE.dot 。当docx文档启动的时候会加载使用该dot文档。链接已经失效,后续分析也没有了。
./word/_rels/settings.xml.rels中找到了可疑链接。rels文件指定了各个部件之间的关系。Target表示零件的文件位置,正常情况使用的是相对路径。
office病毒除了上面的混淆等方法,还有什么方法可以对抗检测和分析呢?
vba宏代码有3个存储的地方:源代码、pcode区和execode区
用Structured Storage Viewer打开只有下面最简单宏的doc文件
源代码:宏的原代码被压缩保存。是vba模块流的末尾,可以使用'Attribut'字符串轻松识别
pcode:存储的是pcode伪代码,是vba宏代码被vba编辑器编译之后的代码。
execode:只要在pcode代码至少执行一次之后才会出现,存储的是pcode执行的痕迹。execode代码存储在SRP_目录中。
_VBA_PROJECT和SRP_#流:版本和实现信息
存在三个代码区域,那么什么情况下会执行对应的代码呢?
正常情况只会执行源码和p-code
pcode:office版本和vba编辑器相同时,使用pcode(pcodedmp提取pcode代码)
源码:office或者vba版本不同时,使用源码执行
exe-code:是pcode的执行记录,不会被执行,但是具备独立执行的条件
针对上面的pcode和源码在不同条件下的执行优先顺序,提出了不同的攻击方法。
将恶意的源码与非恶意的VBA源码进行交换,保留p-code不变。攻击能够成功取决于office版本,office版本和目标的office版本相同时,office会优先执行p-code中的代码。可以使用https://github.com/outflanknl/EvilClippy工具完成这个过程
先创建一个包含一个模块abcdefg模块的doc文档,打开时自动弹窗HelloWorld
创建一个非恶意的fakeMssage.vba
使用EvilClippy替换原来doc中的源码,得到doc_EvilClippy_stomping.doc文件
使用word查看效果,vba编辑器仍然能看到源码,因为当vba执行时,office会根据p-code修复源码
使用Structured Storages Viewer查看,可以看到源码内容已经被修改
使用olevba对doc_EvilClippy_stomping.doc进行查看,分析得到的vba代码已经出错。pcode部分还是能看到源码正常。且已经提示存在vba stoming
oledump工具提示7,13报错
pcodedmp分析
可以使用pcode2code库来提取源码
小结:
VBA stoming方法主要是针对一些自动检测工具进行干扰,降低杀软报毒的可能性,对于手动分析没有干扰效果。
与VBA stomping相反,VBA purging保留了源码,删除了p-code及相关部分。
从模块流和_VBA_PROJECT流中删除Pcode,将MODULEOFFSET的值更改为0,并删除所有SRP流。更容易绕过AV检测和YARA规则(导致一些分析工具失效,貌似对手动分析并没影响)
可以使用https://github.com/fireeye/OfficePurge完成相关操作
如何实现vba purging的操作呢(阅读https://github.com/fireeye/OfficePurge源码)
1.读取“dir”的流内容,并解压。
2.解析“dir”流内容解析出module的名字和源码的offset。(比如doc.doc中abcdefg模块的偏移为1307)
3.循环提取源码到OG_VBACode,移除pcode,再重新设置VBA中对应模块源码。(如下源码)
4.修改dir流中module的偏移为0
5.设置_VBA_PROJECT为"CC-61-FF-FF-00-00-00"
6.删除__SRP_*的流
_VBA_PROJECT长度只有7个字节时优先考虑是否为vba_purging
当文档运行p-code时,VBA引擎会根据p-code修复源码。所以只要p-code运行,使用vba编辑器查看到的就还是源码。如下图将doc的源码进行了替换,但是用word打开时还是原来的代码。有没有什么办法能阻碍分析人员通过vba编辑器查看和动态调试呢?
EviClippy可以使用-g参数隐藏vba源码
Hiding macros原理
通过查看EviClippy的相关代码,可以知道-g参数主要是对将PROJECT流中的"Module=abcdefg\x0D\x0A"删除并重新保存(使用FlexHEX,直接用010editor会导致vba失效)
查看效果:能够成功执行vba代码,但是vba编辑器看不到对应的
文档结构相关
(官方文档)[MS-OLEDS]: Object Linking and Embedding (OLE) Data Structures
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-oleds/85583d21-c1cf-4afe-a35f-d6701c5fbb6f
Office文件的奥秘——.NET平台下不借助Office实现Word、Powerpoint等文件的解析(一)
https://www.cnblogs.com/mayswind/archive/2013/03/17/2962205.html
office 复合文档数据结构解析“初探”
https://blog.csdn.net/Cody_Ren/article/details/103886098
Tools to extract VBA Macro source code from MS Office Documents
http://www.decalage.info/en/vba_tools
复合文档的二进制存储格式研究[ole存储结构]整理
https://blog.csdn.net/chaoguodong/article/details/80402291
恶意Office文档解析——1. Office文档格式解析
https://blog.csdn.net/qq_42855619/article/details/92852284
oletools百科
https://github.com/decalage2/oletools/wiki
VBA教程
https://www.yiibai.com/vba
office病毒分析相关
宏病毒的研究与实例分析01——基础篇
https://blog.csdn.net/qq_38474570/article/details/88382677?spm=1001.2014.3001.5501
(推荐)【恶意代码分析技巧】08-文档宏病毒
https://www.sec-in.com/article/67
浅析恶意office文档检测技术
https://www.secrss.com/articles/10705
word文档宏病毒样本分析
https://www.52pojie.cn/thread-1287476-1-1.html
一例加密保护Excel的vba宏病毒下载器分析
https://www.52pojie.cn/thread-1298869-1-1.html
office病毒隐藏相关
(推荐)Evil Clippy原理
https://outflank.nl/blog/2019/05/05/evil-clippy-ms-office-maldoc-assistant/
(推荐)OfficePurge工具
https://github.com/fireeye/OfficePurge
Pcode与VBA Stomping
https://www.yuque.com/p1ut0/qtmgyx/mbwnvq
Oficepurge原理
https://www.fireeye.com/blog/threat-research/2020/11/purgalicious-vba-macro-obfuscation-with-vba-purging.html
最后提供一下实验用的样本解压密码:bbs.pediy.com
test文件夹为最简单的宏的doc,用于测试特性和工具
样本文件夹为any.run下载样本,解压密码infected
struct OLEGUID {
unsigned
int
dw1;
unsigned short w1;
unsigned short w2;
unsigned char aby[
8
];
};
struct FileHeader{
unsigned char sig[
8
];
/
/
*
特征码
0xD0
0xCF
0x11
0xE0
0xA1
0xB1
0x1A
0xE1
OLEGUID oleguid;
/
/
ClassID
unsigned short VerMinor;
/
/
修订号
unsigned short VerDll;
/
/
版本号
unsigned short ByteOrder;
/
/
*
文档存储模式
0xFE0xFF
:小端。
0xFF0xFE
大端
unsigned short SectorShit;
/
/
*
表示sector的大小。
2
^n
unsigned short MiniSecShift;
/
/
*
MiniSector的大小。
2
^n
unsigned short Reserved1;
/
/
保留
unsigned
int
Reserved2;
/
/
保留
unsigned
int
NumDirSects;
/
/
*
DirectorySectors目录扇区数量
unsigned
int
NumFatSects;
/
/
*
FAT数量
unsigned
int
DirSect;
/
/
*
Directory开始的SectorID
unsigned
int
TransactSig;
/
/
0
unsigned
int
MiniStrMax;
/
/
最小Stream的最大值,默认
4096
unsigned
int
MiniFatSect;
/
/
*
MiniFAT表开始的SectorID
unsigned
int
NumMiniFatSects;
/
/
*
MiniFAT表数量
unsigned
int
DifatSect;
/
/
*
DIFAT开始的SectorID
unsigned
int
NumDifatSects;
/
/
*
DIFAT的数量
unsigned
int
DiFat[
109
];
/
/
109
个DIFAT
};
struct OLEGUID {
unsigned
int
dw1;
unsigned short w1;
unsigned short w2;
unsigned char aby[
8
];
};
struct FileHeader{
unsigned char sig[
8
];
/
/
*
特征码
0xD0
0xCF
0x11
0xE0
0xA1
0xB1
0x1A
0xE1
OLEGUID oleguid;
/
/
ClassID
unsigned short VerMinor;
/
/
修订号
unsigned short VerDll;
/
/
版本号
unsigned short ByteOrder;
/
/
*
文档存储模式
0xFE0xFF
:小端。
0xFF0xFE
大端
unsigned short SectorShit;
/
/
*
表示sector的大小。
2
^n
unsigned short MiniSecShift;
/
/
*
MiniSector的大小。
2
^n
unsigned short Reserved1;
/
/
保留
unsigned
int
Reserved2;
/
/
保留
unsigned
int
NumDirSects;
/
/
*
DirectorySectors目录扇区数量
unsigned
int
NumFatSects;
/
/
*
FAT数量
unsigned
int
DirSect;
/
/
*
Directory开始的SectorID
unsigned
int
TransactSig;
/
/
0
unsigned
int
MiniStrMax;
/
/
最小Stream的最大值,默认
4096
unsigned
int
MiniFatSect;
/
/
*
MiniFAT表开始的SectorID
unsigned
int
NumMiniFatSects;
/
/
*
MiniFAT表数量
unsigned
int
DifatSect;
/
/
*
DIFAT开始的SectorID
unsigned
int
NumDifatSects;
/
/
*
DIFAT的数量
unsigned
int
DiFat[
109
];
/
/
109
个DIFAT
};
/
/
office DirectoryEntry数据结构
struct Element {
wchar_t Name[
32
];
/
/
Directory名字
unsigned short NameLength;
/
/
Name长度
unsigned char
Type
;
/
/
节点类型。
0
:非法;
1
:目录(storage);
2
:节点(Stream);
5
:根节点
unsigned char Flags;
/
/
节点颜色
unsigned
int
sidLeft;
/
/
左兄弟EntryID
unsigned
int
sidRight;
/
/
右兄弟EntryID
unsigned
int
sidChild;
/
/
孩子节点EntryID
OLEGUID ClsID;
unsigned
int
UserFlags;
/
/
一般为
0
__int64 CreateTime;
/
/
创建时间 貌似不是时间戳的格式
__int64 ModifyTime;
/
/
文件修改时间
unsigned
int
StartSect;
/
/
DirectoryEntry开始的SectorID
unsigned
int
SizeLow;
/
/
Directory存储的所有字节长度
unsigned
int
SizeHigh;
/
/
保留置
0
};
/
/
office DirectoryEntry数据结构
struct Element {
wchar_t Name[
32
];
/
/
Directory名字
unsigned short NameLength;
/
/
Name长度
unsigned char
Type
;
/
/
节点类型。
0
:非法;
1
:目录(storage);
2
:节点(Stream);
5
:根节点
unsigned char Flags;
/
/
节点颜色
unsigned
int
sidLeft;
/
/
左兄弟EntryID
unsigned
int
sidRight;
/
/
右兄弟EntryID
unsigned
int
sidChild;
/
/
孩子节点EntryID
OLEGUID ClsID;
unsigned
int
UserFlags;
/
/
一般为
0
__int64 CreateTime;
/
/
创建时间 貌似不是时间戳的格式
__int64 ModifyTime;
/
/
文件修改时间
unsigned
int
StartSect;
/
/
DirectoryEntry开始的SectorID
unsigned
int
SizeLow;
/
/
Directory存储的所有字节长度
unsigned
int
SizeHigh;
/
/
保留置
0
};
│ [Content_Types].xml
/
/
描述文档各个部分的ContentType,协助程序解析文档
│
├─docProps
│ app.xml
/
/
程序级别的文档属性,如:页数、文本行数、程序版本等
│ core.xml
/
/
用户填写的文档属性,如:标题、主题、作者等
│
├─word
│ │ document.xml
/
/
word文档的正文
│ │ fontTable.xml
/
/
word文档的页脚
│ │ settings.xml
/
/
│ │ styles.xml
│ │ vbaData.xml
/
/
vba属性,是否auoopen,是否加密
│ │ vbaProject.
bin
/
/
记录vba工程信息 ole
│ │ webSettings.xml
│ │
│ ├─theme
│ │ theme1.xml
/
/
记录样式,颜色编号,字体大小等等
│ │
│ └─_rels
│ document.xml.rels
/
/
文档间的关系
│ vbaProject.
bin
.rels
/
/
记录vba文件
│
└─_rels
.rels
/
/
描述各个部分之间的关系
│ [Content_Types].xml
/
/
描述文档各个部分的ContentType,协助程序解析文档
│
├─docProps
│ app.xml
/
/
程序级别的文档属性,如:页数、文本行数、程序版本等
│ core.xml
/
/
用户填写的文档属性,如:标题、主题、作者等
│
├─word
│ │ document.xml
/
/
word文档的正文
│ │ fontTable.xml
/
/
word文档的页脚
│ │ settings.xml
/
/
│ │ styles.xml
│ │ vbaData.xml
/
/
vba属性,是否auoopen,是否加密
│ │ vbaProject.
bin
/
/
记录vba工程信息 ole
│ │ webSettings.xml
│ │
│ ├─theme
│ │ theme1.xml
/
/
记录样式,颜色编号,字体大小等等
│ │
│ └─_rels
│ document.xml.rels
/
/
文档间的关系
│ vbaProject.
bin
.rels
/
/
记录vba文件
│
└─_rels
.rels
/
/
描述各个部分之间的关系
pip install
-
U oletools
变量声明:
Dim <<variable_name>> As <<variable_type>>
常量声明
Const <<constant_name>> As <<constant_type>>
=
<<constant_value>>
变量声明:
Dim <<variable_name>> As <<variable_type>>
常量声明
Const <<constant_name>> As <<constant_type>>
=
<<constant_value>>
算术操作符:
+
-
*
/
%
^(加、减、乘、除、取余、指数)
比较运算符:和其他语言一样。(<>为不相等比较)
逻辑运算符:AND、OR、NOT、XOR
连接运算符:
+
和&(两个变量为数字时A
=
5
,B
=
10
,A
+
B
=
15
,A&B
=
510
;两个变量为字符串时都是拼接字符串)
算术操作符:
+
-
*
/
%
^(加、减、乘、除、取余、指数)
比较运算符:和其他语言一样。(<>为不相等比较)
逻辑运算符:AND、OR、NOT、XOR
连接运算符:
+
和&(两个变量为数字时A
=
5
,B
=
10
,A
+
B
=
15
,A&B
=
510
;两个变量为字符串时都是拼接字符串)
if
条件判断
If(expression1) Then
Statement1
Elseif(expression2) Then
Statement2
Elseif
Statement3
End If
switch语句
Select Case expression
Case expressionlist1
statement1
statement2
....
....
statement1n
Case expressionlist2
statement1
statement2
....
....
Case expressionlistn
statement1
statement2
....
....
Case Else
elsestatement1
elsestatement2
....
....
End Select
for
循环
For counter
=
start To end [Step stepcout]
statement1
statement2
Exit For
Next
for
each循环
For Each item In Group
statement1
Next
While循环
While condition(s)
statemnets1
Wend
Do While循环
Do
statements1
Loop While condition(s)
中途退出
for
循环
Exit For
中途退出Do
while
循环
Exit Do
if
条件判断
If(expression1) Then
Statement1
Elseif(expression2) Then
Statement2
Elseif
Statement3
End If
switch语句
Select Case expression
Case expressionlist1
statement1
statement2
....
....
statement1n
Case expressionlist2
statement1
statement2
....
....
Case expressionlistn
statement1
statement2
....
....
Case Else
elsestatement1
elsestatement2
....
....
End Select
for
循环
For counter
=
start To end [Step stepcout]
statement1
statement2
Exit For
Next
for
each循环
For Each item In Group
statement1
Next
While循环
While condition(s)
statemnets1
Wend
Do While循环
Do
statements1
Loop While condition(s)
中途退出
for
循环
Exit For
中途退出Do
while
循环
Exit Do
Dim arr(
5
)
Dim text1 As Strings
Set
fso
=
CreateObject(
"Scripting.FileSystemObject"
)
Set
stream
=
fso.OpenTextFile(
"F:\worksp\vba\Support.log"
, ForWriting,
True
)
text1
=
"text1"
stream.WriteLine text1
stream.Close
Dim text1 As Strings
Set
fso
=
CreateObject(
"Scripting.FileSystemObject"
)
Set
stream
=
fso.OpenTextFile(
"F:\worksp\vba\Support.log"
, ForWriting,
True
)
text1
=
"text1"
stream.WriteLine text1
stream.Close
Dim FilePath As String
FilePath
=
"F:\workplace\test.txt"
Open
FilePath For Output As
Dim text1 As String
text1
=
"test1"
Write
text1
=
"text2"
Write
Close
MsgBox (
"Write text"
)
Dim FilePath As String
FilePath
=
"F:\workplace\test.txt"
Open
FilePath For Output As
Dim text1 As String
text1
=
"test1"
Write
text1
=
"text2"
Write
Close
MsgBox (
"Write text"
)
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2021-7-9 23:54
被tobeabel编辑
,原因: 附件案例二文档错误