宏文件恶意代码分析

最新推荐文章于 2024-04-03 11:49:28 发布
最新推荐文章于 2024-04-03 11:49:28 发布
阅读量677 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baoyahong/article/details/120768908
版权

一、分析工具:oledump.py

二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a

三、分析步骤

1.查看宏

命令:python3 old_sample/oledump.py

ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a

大写字母“M”表示宏代码的位置,M左侧对应的字符为索引

2.提取恶意宏代码

命令:python3 old_sample/oledump.py -s 8 -v ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a

3.将恶意代码导入txt文件中

命令:python3 old_sample/oledump.py -s 8 -v ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a>ef_malware.txt

4.分析恶意代码

4.1.打开导出的txt文件,通过观察发现有以下几种混淆字符

最低0.47元/天 解锁文章
不知什么昵称
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PyMacroParser 解析工具
Coding
01-06 1051
PyMacroParser 解析工具PyMarcoParser解析工具题目要求题目描述示例解题思路1.load函数2.preDefine函数3.dumpDict函数4.dump函数关键代码1.主要函数2.关键函数 PyMarcoParser解析工具 题目要求 题目描述 假定有CPP 源码文件(.cpp) 仅有如下内容 包含C/C++ 风格的注释: // 及 /**/ 包含空白字符 只包含 ...
病毒的研究与实例分析03——病毒处理篇1
08-03
病毒是指嵌入在Microsoft Office文档中的恶意代码,可以对计算机系统造成危害。因此,了解病毒的处理思路和实例分析非常重要。 在开始之前,我们需要了解OLE文件的结构。OLE文件是由多个扇区组成的,每个扇区都...
病毒的研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的病毒,一窥病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取: 提取到的代码如下: Attribute VB_Name = "Module1" Sub Auto_Open...
oledump-py office ole dump
weixin_34279579的博客
05-19 514
http://blog.didierstevens.com/programs/oledump-py/ ...
恶意勒索Word文档模版注入分析
最新发布
黑剑
04-03 995
此次是简单的分析过程,主要用于困难环境下使用手动进行分析,在根据实际情况对相关的文档进行恶意分析!那么在智能沙箱的情况下,几乎这些手动的行为都被忽略了,所以会一些手动技巧也是巩固自身的知识,不依赖沙箱等情况!
vscode-office-macro:易于使用的工具来分析VSCode中的恶意
05-06
办公室实验室 易于使用的工具来分析恶意 是的,没有更多文档了……这是一个周末项目。
Gooogle Test中的TEST()代码分析
weixin_30510153的博客
11-08 97
从Primer文档中了解到,一般情况下,在TEST()定义一个自己的测试案例,第一部分为单元测试名字,第二部分为测试名。那么TEST()的原定义是一个什么样的形式的呢?为什么只需要定义TEST()就可以了呢,这里面有什么技巧吗?作为一个技术员,虽然只需要接口就能够编写应用程序,然而如果能够获取内部更多信息,那么我们将会编写的更加完美的程序,编写的程序更加有效。那么下面我们就慢慢开始解...
文件
dbql10359的博客
06-27 268
//如何安装: //1.创建新pch文件,默认名字即可: "PrefixHeader.pch". //2.点击下一步再去Build Settings 搜索Prefix Header. //3.找到Prefix Header并且双击,输入$(SRCROOT)/$(PROJECT_NAME)/PrefixHeader.pch //现在你可以在项目内任何文件调用定义了,祝一切顺利. ...
C语言的使用分析
qq_38705421的博客
07-29 212
#define #define定义的可以出现在程序的任何位置 #define定义之后的代码都可以使用这个 #define定义的常量本质为字面量 #define表达式不能出现递归定义 C语言中的内置 ANSI C 规定了以下几个预定义,它们在各个编译器下都可以使用: LINE:表示当前源代码的行号; FILE:表示当前源文件的名称; DATE:表示当前的编译日期; TIME:表示当前的编译时间; STDC:当要求程序严格遵循ANSI C标准时该标识被赋值为1; __cplusplus:当编写C++程
计算机病毒分析及清除实验.doc
10-07
此外,病毒还可以通过 VBA 代码来实现其他恶意功能,如偷偷安装恶意软件、窃取用户数据等。 病毒的清除方法: 病毒的清除方法主要有两种:一是使用杀毒软件来检测和清除病毒,二是手动删除病毒所在的 ...
050-钓鱼攻击中文件的几种姿势.pdf
09-20
钓鱼攻击中文件的几种姿势包括内嵌链接、Office、CHM文档、漏洞利用等,攻击者可以通过欺骗用户、利用漏洞、使用恶意代码等手段来获取用户的敏感信息。因此,用户需要保持警惕,避免打开可疑的文件和链接,避免...
运行文件
06-20
实现文件夹的创建与删除,以及文件的复制等功能,利用对象
基于Java的XML解析与反射设计模式.doc
05-30
安全性,java通常被用在网络环境,为此,java提供了一个安全机制加以防 恶意代码的攻击。除了java语言具有的许多安全特性以外,java对通过网络下载的类具 有一个安全防范机制(类classloader),如分配不同的名字...
乌克兰电力系统被攻击事件分析与启示.pdf
08-29
黑客通过收集目标用户邮箱,然后向其定向发送携带恶意文件的Spam件,疏于安全防范的用户打开了带病毒的Office文档(或利用Office漏洞的文档),如果目标主机存在安全隐患,则在打开附件时就会自动运行代码。...
iOS开发中常用的定义
qq_34784051的博客
12-08 425
总结了iOS开发过程中的一些常用,以后会陆陆续续添加进来。 字符串是否为空   #define kStringIsEmpty(str) ([str isKindOfClass:[NSNull class]] || str == nil || [str length]  数组是否为空   #define kArrayIsEmpty(array) (arr
Cobaltstrike -恶意文件
weixin_30492601的博客
03-06 1071
Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的...
亲手编制Word病毒 深入理解恶意
weixin_33921089的博客
11-22 815
互联网真是陷阱的天堂,这不,小风刚刚上网下载了一个Doc文件,启动Word想打开文档看看,结果自己D盘的一大堆文件不见了,敢情Word文件也能带病毒呀!今天渔歌特意请来无风来为大家做一个简单的Word病毒,以此来让大家了解一下——   第一步:启动Word 2003(同样适合Word 2000/XP),单击“插入→对象”命令,在弹出的“对象”...
怎么给恶意代码文件进行分词
05-26
对于恶意代码文件的分词,可以根据具体情况选择不同的方法: 1. 按照空格分词:将文件按照空格进行分词,这种方法比较简单,但是可能无法处理一些特殊字符和标点符号。 2. 按照标点符号分词:将文件按照标点符号...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值