宏病毒混淆分析
前言
很早之前就说要分析宏病毒,一直没机会,现在终于有空闲时间来分析一个混淆的比较厉害的宏病毒了。
静态分析
分析宏病毒时,可以利用 oledump.py 来将宏代码提取出来再进行分析。
使用命令 python oledump.py
文件名,即可查看文件流信息。
下图中的 M 表示该段中有宏代码。
python oledump.py -s 8 -v 11.dat >1.txt
可以将 8 段中的宏代码提取到 1.txt 中,再进行查看。
利用相同方式将其他几段的宏代码提取出来。
几个文件都是混淆的宏代码,代码量较大,可以直接在 word 中进行调试。
简单截几个图,大家看看。
宏病毒往往是作为payload的载体,通过创建其他例程,释放运行payload。无论宏病毒前面执行了多么复杂的操作,最后肯定会运行payload,而运行payload的方式可能是Shell、WScript.Shell、Application.Run等,我们可以直接搜索这些字符串迅速定位到运行payload的地方。
动态调试提取shell指令
在word中进行调试可以用一个大佬的办法(动态调试)。
可以在点击"启用内容"按钮的时候,按住SHIFT键,点击"启用内容"按钮,然后松开SHIFT。然后按下ALT+F11,打开宏编辑窗口,这时候可以在宏代码的main