宏病毒混淆分析

最新推荐文章于 2024-06-15 09:37:27 发布
最新推荐文章于 2024-06-15 09:37:27 发布
阅读量911 收藏 2
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_ZHAZHAL/article/details/104678722
版权
本文介绍了如何分析宏病毒,特别是混淆严重的宏病毒。通过静态分析使用oledump.py工具提取宏代码,动态调试则在Word中利用Shift键配合Alt+F11设置断点,寻找payload执行途径。在调试过程中,发现病毒常利用CMD和PowerShell下载并运行恶意程序。解密过程揭示了混淆的字符串替换机制。文章最后总结了宏病毒的常见目标和提供样本链接供进一步研究。
摘要由CSDN通过智能技术生成

宏病毒混淆分析

前言

很早之前就说要分析宏病毒,一直没机会,现在终于有空闲时间来分析一个混淆的比较厉害的宏病毒了。

静态分析

分析宏病毒时,可以利用 oledump.py 来将宏代码提取出来再进行分析。
使用命令 python oledump.py 文件名,即可查看文件流信息。
下图中的 M 表示该段中有宏代码。
在这里插入图片描述
python oledump.py -s 8 -v 11.dat >1.txt 可以将 8 段中的宏代码提取到 1.txt 中,再进行查看。
在这里插入图片描述
利用相同方式将其他几段的宏代码提取出来。
在这里插入图片描述
几个文件都是混淆的宏代码,代码量较大,可以直接在 word 中进行调试。
简单截几个图,大家看看。
在这里插入图片描述
在这里插入图片描述
宏病毒往往是作为payload的载体,通过创建其他例程,释放运行payload。无论宏病毒前面执行了多么复杂的操作,最后肯定会运行payload,而运行payload的方式可能是Shell、WScript.Shell、Application.Run等,我们可以直接搜索这些字符串迅速定位到运行payload的地方。
在这里插入图片描述

动态调试提取shell指令

在word中进行调试可以用一个大佬的办法(动态调试)。
可以在点击"启用内容"按钮的时候,按住SHIFT键,点击"启用内容"按钮,然后松开SHIFT。然后按下ALT+F11,打开宏编辑窗口,这时候可以在宏代码的main

最低0.47元/天 解锁文章
1行
关注
专栏目录
Macro_Pack中的宏代码混淆方法分析
systemino的博客
08-10 1022
混淆工具 Macro_Pack是一个用于自动化混淆及生成Office文档、VB脚本、快捷方式等文件的工具,其主要用于渗透测试、demo以及社会工程学评估。macro_pack的目标是简化利用流程,反恶意软件绕过,并自动化实现从vba生成到最终Office文档生成的过程。 Github:https://github.com/sevagas/macro_pack。 Macro_Pack分为专业...
宏病毒的研究与实例分析01——基础篇
鬼手的博客
03-10 1万+
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
推荐开源项目:VBA混淆
最新发布
gitblog_00059的博客
06-15 568
推荐开源项目:VBA混淆器 项目地址:https://gitcode.com/bonnetn/vba-obfuscator 1、项目介绍 VBA Obfuscator 是一个开源项目,专注于保护Microsoft Word宏中的Visual Basic代码不被反病毒软件检测到。作为一个毕业设计项目,它通过应用一系列的代码变换,使得宏代码在扫描中更难以被识别,从而达到规避签名扫描的目的。 2、项目技...
宏病毒分析要点
weixin_42539095的博客
12-26 553
练习过一些宏病毒,总结一些最基本的方法 一.查看 提示启用内容,选择启用 Alt+F11即可查看宏代码 二.加密 部分宏加了密码 可以用如下工具破解 三.快速查找关键语句 大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来 选择左侧点击即可下断 然后运行 本地窗口查看,调试 添加监视即可看到关键部...
脚本病毒分析扫描专题1-VBA代码阅读扫盲、宏病毒分析
weixin_30593261的博客
03-24 512
1、Office Macor MS office宏的编程语言是Visual Basic For Applications(VBA)。 微软在1994年发行的Excel5.0版本中,即具备了VBA的宏功能。开发目的是为了在其桌面应用程序中执行通用的自动化任务,用于扩展Windows的应用程序功能。在分析带有宏病毒的样本前,我们需要对VBA有所了解。才能更顺畅地了解病毒发展中的手段和变化。 ...
宏病毒的研究与实例分析01——基础篇1
08-03
例如,使用`Chr()`函数将ASCII码转换为字符,`Replace()`函数进行字符串替换,`CallByName`函数动态调用对象的方法,以及使用`Alias`替换函数名来混淆分析。 【防御宏病毒的手段】 防止宏病毒的关键在于禁用宏,这...
宏病毒查杀
09-12
- 现代的宏病毒更加复杂,可能包含多层加密和混淆技术来躲避检测。 - 用户需要提高安全意识,了解如何识别和避免潜在的威胁。 - 防病毒软件也在不断升级,采用行为分析和机器学习技术来对抗新型病毒。 综上所述...
EvilClippy:用于创建恶意MS Office文档的跨平台助手。 可以隐藏VBA宏,踩VBA代码(通过P代码)并混淆分析工具。 在Linux,OSX和Windows上运行
05-24
可以隐藏VBA宏,踩VBA代码(通过P代码)并混淆分析工具。 在Linux,OSX和Windows上运行。 如果您不熟悉此工具,则可能需要阅读我们关于Evil Clippy的博客文章开始: : 该项目应仅用于授权测试或教育目的。 ...
记一次宏病毒分析
Boom!脑洞大爆炸的博客
06-18 700
记一次宏病毒分析
宏病毒的研究与实例分析03——宏病毒处理篇
鬼手的博客
03-11 3314
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明 在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒宏病毒处理思路 破坏宏标志 在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...
宏病毒分析技巧 - 绕过密码保护
u012871930的博客
03-18 412
分析宏病毒样本时,偶尔会遇到带密码的宏病毒样本,有些工具可以直接读取或绕过输入密码 这里使用一种简单粗暴的方法来绕过宏密码保护,使用任意一款16进制编辑器,搜索DPB 将其修改为DPX 保存后,重新打开宏病毒样本,WORD弹出错误提示,点击 是 使用ALT+F11打开宏编辑器,然后打开右键Project属性 在属性窗口->保护 我们可以取消密码保护,或输入一个新密码 这里...
宏病毒的研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到的宏代码如下: Attribute VB_Name = "Module1" Sub Auto_Open...
office 宏病毒分析
CMC_HHM的博客
03-25 2044
1、样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备 在linux平台下安装 安装依赖包 wget...
oledump-py office ole dump
weixin_34279579的博客
05-19 524
http://blog.didierstevens.com/programs/oledump-py/ ...
宏病毒刨析
sxr__nc的博客
12-09 550
拿到宏病毒之后,先使用oledump.py工具进行宏数据流得查看: 通过查看数据流可以发现,在第八段和第九段有宏代码,同时需要注意在第十二的数据虽然没有宏代码 ,但是第12段数据大小却是很可疑需要注意一下,同时也可以将第八段和第九段以及第十二段 这三段数据dump出来 进行查看。这里采用宏病毒动态调试的方式: 打开文件之后,存在安全警告: 这个时候,可以使用快捷键 打开并且查看宏代码(a...
通过Oledump.py获取OFFICE文件中的宏代码
VI___
04-14 2799
首先用oledump.py查看一下基本信息,记住M所在的行的数字,这里为7、9 输入如下命令查看对应的宏代码 当然可以重定向到文件中方便查看 如下即可得到源码 ...
简单宏病毒研究
richard1230的博客
03-13 3587
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...
office软件中的宏病毒和木马病毒分析
本文将从病毒分析的角度,深入探讨宏病毒、文件型病毒和木马病毒的概念、特点、破坏和表现,及其防范措施。 一、宏病毒 宏(Macro)是微软公司出品的Office软件包中的一项特殊功能,目的是减少用户的重复劳动。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值