宏文件恶意代码分析

最新推荐文章于 2023-11-21 16:15:03 发布
最新推荐文章于 2023-11-21 16:15:03 发布
阅读量709 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baoyahong/article/details/120768908
版权
本文详细介绍了如何使用oledump.py工具分析宏恶意代码,包括识别混淆字符、反混淆过程和恶意代码功能解析。恶意代码涉及创建目录、复制自身、从png图像中提取zip文件,解压后包含一个RAT(远程访问木马),具备下载、运行命令、截屏等功能。此外,通信过程使用AES加密和Base64编码确保隐蔽性。
摘要由CSDN通过智能技术生成

一、分析工具:oledump.py

二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a

三、分析步骤

1.查看宏

命令:python3 old_sample/oledump.py

ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a

大写字母“M”表示宏代码的位置,M左侧对应的字符为索引

2.提取恶意宏代码

命令:python3 old_sample/oledump.py -s 8 -v ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a

3.将恶意代码导入txt文件中

命令:python3 old_sample/oledump.py -s 8 -v ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a>ef_malware.txt

4.分析恶意代码

4.1.打开导出的txt文件,通过观察发现有以下几种混淆字符

(1)_OACZT_20210214_115603_xokkn_

(2)xokkn</

最低0.47元/天 解锁文章
不知什么昵称
关注
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
vscode-office-macro:易于使用的工具来分析VSCode中的恶意
05-06
办公室实验室 易于使用的工具来分析恶意 是的,没有更多文档了……这是一个周末项目。
Gooogle Test中的TEST()宏代码分析
weixin_30510153的博客
11-08 119
从Primer文档中了解到,一般情况下,在TEST()定义一个自己的测试案例,第一部分为单元测试名字,第二部分为测试名。那么TEST()的原定义是一个什么样的形式的呢?为什么只需要定义TEST()就可以了呢,这里面有什么技巧吗?作为一个技术员,虽然只需要接口就能够编写应用程序,然而如果能够获取内部更多信息,那么我们将会编写的更加完美的程序,编写的程序更加有效。那么下面我们就慢慢开始解...
对C,C++进行代码分析(自上而下)
weixin_42944928的博客
12-29 212
定义分析
文件
dbql10359的博客
06-27 275
//如何安装: //1.创建新pch文件,默认名字即可: "PrefixHeader.pch". //2.点击下一步再去Build Settings 搜索Prefix Header. //3.找到Prefix Header并且双击,输入$(SRCROOT)/$(PROJECT_NAME)/PrefixHeader.pch //现在你可以在项目内任何文件调用定义了,祝一切顺利. ...
C语言的使用分析
qq_38705421的博客
07-29 237
#define #define定义的可以出现在程序的任何位置 #define定义之后的代码都可以使用这个 #define定义的常量本质为字面量 #define表达式不能出现递归定义 C语言中的内置 ANSI C 规定了以下几个预定义,它们在各个编译器下都可以使用: LINE:表示当前源代码的行号; FILE:表示当前源文件的名称; DATE:表示当前的编译日期; TIME:表示当前的编译时间; STDC:当要求程序严格遵循ANSI C标准时该标识被赋值为1; __cplusplus:当编写C++程
《计算机病毒与恶意代码》期末总复习
05-31
《计算机病毒与恶意代码》期末复习的关键点涵盖了恶意代码的基本概念、分类、特征以及各种类型的病毒,包括传统病毒、病毒和Linux病毒的特性。同时,还涉及了防范策略和理论模型。 首先,恶意代码是未经授权的...
exp4恶意代码分析实验报告-20202127
qq_57435798的博客
04-05 2204
本次实验的重点是借用软件工具,通过工具来具体分析恶意代码,通过对后门文件的多方面分析检测,查看是否主机中有可疑对象和可疑行为,这对平时主机的使用和保护都有着重大的实际作用。这个程序对系统的正常运行是非常重要,而且是不能被结束的。这次试验任务量比之前的三次实验大了很多,而且比较侧重于自己分析,通过利用一些专业的分析工具,可以对恶意代码进行静态和动态的分析,这些工具除了wireshark在之前学习使用过,其他工具都是从没有听说过,通过这些工具的使用也让我对恶意代码有了更深的认识。以后还要加强这方面的学习。
运行文件
06-20
实现文件夹的创建与删除,以及文件的复制等功能,利用对象
PyMacroParser 解析工具
Coding
01-06 1275
PyMacroParser 解析工具PyMarcoParser解析工具题目要求题目描述示例解题思路1.load函数2.preDefine函数3.dumpDict函数4.dump函数关键代码1.主要函数2.关键函数 PyMarcoParser解析工具 题目要求 题目描述 假定有CPP 源码文件(.cpp) 仅有如下内容 包含C/C++ 风格的注释: // 及 /**/ 包含空白字符 只包含 ...
iOS开发中常用的定义
qq_34784051的博客
12-08 437
总结了iOS开发过程中的一些常用,以后会陆陆续续添加进来。 字符串是否为空   #define kStringIsEmpty(str) ([str isKindOfClass:[NSNull class]] || str == nil || [str length]  数组是否为空   #define kArrayIsEmpty(array) (arr
恶意代码实验3:Word病毒实验
最新发布
qq_63949327的博客
11-21 2130
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的编辑器如图所示,即可编写病毒代码。
什么是恶意代码?
luming的博客
10-27 1442
本文旨在分享交流技术,在这里对恶意代码进行全面的介绍和讲解:恶意代码的定义,恶意代码的发展史,恶意代码的相关定义,恶意代码的攻击机制 PE病毒,脚本病毒,病毒,浏览器恶意代码,U盘病毒,网络蠕虫
Cobaltstrike -恶意文件
weixin_30492601的博客
03-06 1084
Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的...
亲手编制Word病毒 深入理解恶意
weixin_33921089的博客
11-22 844
互联网真是陷阱的天堂,这不,小风刚刚上网下载了一个Doc文件,启动Word想打开文档看看,结果自己D盘的一大堆文件不见了,敢情Word文件也能带病毒呀!今天渔歌特意请来无风来为大家做一个简单的Word病毒,以此来让大家了解一下——   第一步:启动Word 2003(同样适合Word 2000/XP),单击“插入→对象”命令,在弹出的“对象”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值