2022/03/26hackthebox取证emo病毒分析报告(下)

已于 2022-03-26 13:57:19 修改
阅读量239 收藏
点赞数
分类专栏: 笔记 文章标签: web安全 bash 开发语言
于 2022-03-26 12:20:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46241655/article/details/123751954
版权

本文将对2022/03/25hackthebox取证emo病毒分析报告(上)进行补充和更正
上文说到命令在下面一行执行

Rom9dzby5v3unv8. _
Create AWLDFu7C7y(I51m0kjl96lpdcfhm(Dbx3w8eu9966odzw7)), Kw8r40ymn9ne3xu, Nzkctvs5ewy_ds

当我们打一个断点,发现两行同时被打上了断点
现在用burpsuite看看有什么猫腻
图1点开decoder模块
上面是原文
下面是我改的
这个0a是换行符
20是空格
源代码是换行
也就是普通换行,不是字符太多自动换行或者空格其他什么的
按Ctrl+F搜索Rom9dzby5v3unv8是什么
图2结果发现他是winmgmts:win32_Process类
调用了create函数
但是这个写法很怪
下面证明这个写法符合语法

Sub dfsgvfdsg()
On Error Resume Next

Set process = GetObject("winmgmts:Win32_Process")

process. _
Create "notepad.exe", Null, Null, processid

a = process.Create("cmd.exe", Null, Null, processid)

End Sub

当我们换行时要在前一行加一个下划线
后面参数不要括号括起来
如此说明AWLDFu7C7y(I51m0kjl96lpdcfhm(Dbx3w8eu9966odzw7)), Kw8r40ymn9ne3xu, Nzkctvs5ewy_ds都是有用的参数
如果不换行要用括号把参数扩起来,还要一个变量接受返回值
vb的函数返回值是函数名
这样就知道了AWLDFu7C7y为什么有值
且值为执行的命令
这个返回值没有powershell.exe什么的
下面实验证明它能启动powershell

Sub ujehdfiuk()
On Error Resume Next

Set process = GetObject("winmgmts:Win32_Process")

process. _
Create "powershell start-sleep 3", Null, Null, processid


End Sub

powershell弹出来了,成功
上文中的没弄清楚的命令正确翻译在下面

([wmiclass](('wi'+'n')+('32_'+'Proc'+'e')+'s'+'s'))."cR`eaTE"($Scusbkj);

([wmiclass]"Win32_Process").create("C:\Users\xxxxx\Jrbevk4\Ccwr_2h\Ale7g_8.exe")

但是使用这个命令不能打开所有文件
参见Win32_Process.Create fails if user profile is not loaded
但是病毒文件应该是可以打开的
我自己写了个exe可以打开
就此,emo.doc分析完毕

专注pwn0年
关注
专栏目录
javascript/微信小程序中将String进行Base64编码并UTF-8格式输出
03-29
提供一种Base64编码,并输出UTF-8格式的BASE64编码方式。本程序在微信小程序开发工具中已经测试通过。 Base64代码: [javascript] view plain copy print? (function(){ var BASE64_MAPPING = [ ...
2022/03/25hackthebox取证emo病毒分析报告(上)
A的博客
03-25 1041
病毒是一个宏病毒 由vb语言编写 打开emo.doc按alt+F11 Document_open()是文件打开时执行的函数 如图 它会执行 Get4ipjzmjfvp.X8twf_cydt6点击视图里面的对象浏览器搜索 Get4ipjzmjfvp是一个窗体一个类 点关闭点旁边的复选框控件 里面有很多代码里面混淆着病毒 对象浏览器搜索,再在代码里面观察 Get4ipjzmjfvp.X8twf_cydt6的X8twf_cydt6是一个函数 先在Get4ipjzmjfvp.X8twf_cydt6 旁边打
[HackTheBox系列] 取证分析 - Event Horizon Writeup
mole_exp的博客
05-16 305
[HackTheBox系列] 取证分析 - Event Horizon Writeup
2022/03/21hackthebox取证emo
A的博客
03-22 2204
记录hackthebox上面的一个叫emo取证题目 点击emo.doc 点击启用宏 发现powershell启动了 查看事件查看器的powershell事件 发现有很多事件 不过观察发现事件内容都一样 点开一个 base64解码得到 SV 0zX ([TyPe]("{2}{0}{4}{3}{1}"-f 'e','rECtorY','sYst','.IO.dI','M') ) ; set TxySeo ( [TYpe]("{0}{7}{5}{6}{4}{2}{1}{8}{3}"-F'SYsTE
[HackTheBox系列] 取证分析 - Chase Writeup
mole_exp的博客
05-15 592
[HackTheBox系列] 取证分析 - Chase Writeup
[HackTheBox系列] 取证分析 - Marshal in the Middle Writeup
mole_exp的博客
05-16 378
[HackTheBox系列] 取证分析 - Marshal in the Middle Writeup
Emoji转换工具,便于各种类型的客户端生成的Emoji字符串转换成另外一种格式
08-16
不同的操作系统、浏览器或客户端可能对同一Emoji表情符号有不同的编码方式,导致在不同环境下的显示不一致。为了解决这个问题,"Emoji转换工具"应运而生。这款工具的核心功能是将由各种类型的客户端生成的Emoji字符...
网易云音乐乐评报告(2022).pdf
01-04
网易云音乐乐评报告(2022)是一份基于网易云音乐平台数据的报告,该报告通过对2017-2022历年点赞量Top10,000的评论明细进行文本分析、用户及乐评运营人员深度访谈、Zmet萨尔特曼隐喻诱引技术等方式,梳理了当下热门...
市场营销___江小白企业分析报告.doc
12-17
"市场营销___江小白企业分析报告" 市场营销___江小白企业分析报告是一份关于江小白企业的市场营销分析报告,该报告对江小白企业的市场营销策略、目标市场、竞争优势等方面进行了详细的分析和讨论。 1. 市场营销...
基于STM32平台的EMO-6M GPS模块代码
09-04
在本文中,我们将深入探讨如何在STM32平台上使用代码来读取EMO-6M GPS模块的数据,特别是解析经纬度信息。STM32是一款基于ARM Cortex-M内核的微控制器,广泛应用于嵌入式系统设计。GPS(全球定位系统)模块如EMO-6M...
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
09-14 2976
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 774
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
网络安全实训八(y0usef靶机渗透实例)
Wrop的博客
09-12 477
y0usef靶机渗透实例
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
09-14 1116
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-09 1749
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
国家网络安全宣传周 | 2024年网络安全领域重大政策法规一览
WAJXY2021的博客
09-12 1132
整理了2024年国内发布的网络安全领域相关政策法规,希望能为广大从业者与关注者提供相关参考,共同促进网络安全生态的健康发展。
Web安全与网络安全:SQL漏洞注入
hong161688的博客
09-10 984
Web安全领域,SQL注入漏洞(SQL Injection Vulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权限,进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行详细阐述。
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析②(超详细~)
Aluxian_的博客
09-13 387
现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。A 集团的 WebServer 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系 统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行 全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为, 和残留的关键证据信息。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-08 1890
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
EMO button
05-11
EMO Button是一款基于人工智能的情感识别设备,它可以通过触摸按钮的方式来识别人的情感状态。具体来说,EMO Button内部搭载了一组传感器,包括温度传感器、加速度传感器和心率传感器等,可以通过实时监测用户的生理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值