调试脚本病毒

最新推荐文章于 2022-07-26 17:02:27 发布
最新推荐文章于 2022-07-26 17:02:27 发布
阅读量216 收藏
点赞数
文章标签: 操作系统 python
原文链接:http://www.cnblogs.com/17bdw/p/7193851.html
版权

1、背景

截获病毒样本时遇到各类脚本病毒样本。

2、调试.wsf脚本

.wsf格式文件是windows脚本文件(Windows Script File)的简称,一个wsf文件中不仅可以同时包含js和vbs脚本,而且可以包含Perl、Object REXX、python、 Kixtart等脚本。这类脚本右键打开则可看见加密后的代码,用Visual Studio可对该类脚本调试。通过VS自带的监视变量功能即可看到病毒期间都在执行了什么操作。

调试.wsf前需要将注册表项进行设置

第一步:将以下注册表路径JITDebug的键值设为1

HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings\JITDebug

第二步:用以下方式执行.wsf脚本,加 /x 参数会弹出使用vs调试的窗口

wscript.exe /x myScript.wsf

运行以上病例后会抛出一个即时异常,脚本开始运行后自动启动VS调试器。

549050-20170717133647550-1003194855.png

图1

549050-20170718091358333-572107063.png

图2 F10,F11调试

3、调试js脚本

有两种方式,一种是借助VS直接调试,一种是借助浏览器调试。

借助Visual Studio调试

用Visual Studio调试js与.wsf方法差不多,运行

wscript.exe /x myScript.js

549050-20171119115328312-210246535.png

借助浏览器调试

打开控制台把eval函数替换成alert()或console.log()。

chrome 单步调试JS也可,开启 debugger ,代码在第三行前停止执行。。

4、调试office脚本

alt+shift11,调出脚本窗口,在调试的代码处下断点。通过观察变量变化得到C&C域名或是行为。

549050-20171120020130868-2089168510.png

5、调试HTA

在分析office cve-2017-0199漏洞类样本的时候,会访问一个hta。通过抓包可以看到域名连接,想要看vbs的变形就使用以下工具:

549050-20171213154859254-1051603167.png

6、查看SWF

  • 闪客精灵
  • as3
  • JPEXS Free Flash Decompiler

7、关注重点

脚本类的样本主要关注3点:判断下载的样本是否可用,样本是否可以联网,联网是否存活。

9、OD调试

新建【wscript.exe xxx.js】的快捷方式,拖进OD。然后查看是否有网络模块【WS32_32.dll】被加载。如果有就断点加载的位置,在模块里的联网函数下断点。

快捷方式运行 wscript.exe XXX.js 
E查看模块,找kernel32.dll createfile,ws2_32.dll getaddrinfo
M查看内存状态
L查看日志

8、参考文章

《How to Debug Visual Basic Script with Visual Studio - CodeProject》
https://www.codeproject.com/Tips/864659/How-to-Debug-Visual-Basic-Script-with-Visual-Studi
《How to debug Windows Script Host, VBScript, and JScript files》
https://support.microsoft.com/en-us/help/308364/how-to-debug-windows-script-host,-vbscript,-and-jscript-files
Wscript
https://technet.microsoft.com/en-us/library/hh875526.aspx

转载于:https://www.cnblogs.com/17bdw/p/7193851.html

weixin_30270889
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
病毒分析教程第五话--动态调试分析(上)
安全杂货铺
09-05 1282
s
脚本病毒
sfp69sfp
01-19 474
脚本病毒 2011年04月30日   脚本病毒通常是JavaScript代码编写的恶意代码, 一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。   脚本病毒的共有特性:   脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)脚本病毒通常有如下前缀:VBS、JS(表明...
【2018-10-30】粗略分析某感染性病毒样本
weixin_33881140的博客
11-02 244
样本下载 样本原文件 链接我的分析过程文件 链接提示:请勿实体机分析 文件信息收集 查看文件类型,标准的PE头 改名后使用查壳工具查看是否有壳 总共3个区段,不清楚是什么壳!也不清楚是用什么编程语言写的 使用IDA加载,查看是否有关键字符串信息 看来字符串之类的也被加密或者压缩了 动态分析-脱壳 由于不清楚是什么壳,所以只有尝试多...
c++exe程序在别人电脑上双击无法打开_病毒究竟是怎么自动执行的(上)?
weixin_39605345的博客
11-27 383
电脑病毒一旦入侵到我们的电脑中,需要加载才能造成破坏,因为一个没有加载启动的病毒是没有什么危害的。那么,病毒在进入电脑系统之后,不通过用户双击,会有怎样的办法让自己自动加载执行呢?我们今天就来看一下病毒为了能让自己可以自动加载,一般都会利用哪些方法。了解了病毒自动加载启动,小伙伴们就能够掌握如何发现和清除病毒。一般来说病毒的自动加载技术主要是有两种方式:1、跟随系统的启动而加载。2、跟随程序的启动...
javascript脚本病毒的编写与防范方法研究.doc
最新发布
07-07
3. 隐蔽机制:JavaScript脚本病毒可以使用各种方法来隐蔽自己的存在,例如使用加密技术、反调试技术等。 JavaScript脚本病毒的防范方法 JavaScript脚本病毒的防范方法主要涉及到以下几个方面: 1. 防火墙技术:...
串口调试台V1.11
01-14
串口调试台的核心功能在于其支持脚本发送。这意味着用户可以预先编写一系列的串口通信命令或数据,并通过调试台按照预设顺序自动发送。这种方式在进行自动化测试或者需要重复执行相同串口操作时特别有用,极大地提高...
STW脚本查看器
12-17
此外,虽然STW脚本查看器能够帮助用户阅读和理解脚本,但真正的代码编辑和调试可能还需要配合专业的代码编辑器或IDE(集成开发环境)进行。 总之,STW脚本查看器作为一款脚本文件的辅助工具,它的价值在于提高用户...
php 清除网页病毒的方法
10-30
- 如果找到了病毒脚本,使用`str_replace()`函数将其替换为空字符串,以消除病毒。 - 打开文件(覆盖原有内容),使用`fopen()`以写入模式创建或打开文件,然后使用`fwrite()`将处理后的文件内容写入,最后使用`...
CocosCreator消灭病毒源码
05-27
6. **temp**:临时文件夹,CocosCreator在运行时和构建过程中会生成一些中间文件,例如编译后的脚本、预览图等,它们不直接参与游戏运行,但可能有助于调试和优化。 7. **local**:这个目录可能包含用户本地的数据...
接口测试工具V1.0.hta
05-21
用js实现http接口测试的小程序.超轻量级,只要在windows下双击就能使用
hta格式程序详解
07-22
适合初学者。本学习资料仅对HTA格式的程序进行了大概的解说,可以自己创建一个HTA格式的程序
debug.exe和taskmgr.exe被篡改的病毒
weixin_34245749的博客
08-23 131
现象:此中毒中招后的电脑会略微减慢,任务管理器会被删除,并且debug.exe会被替换。无法打开任务管理器,用第三方进程管理器看到有debug.exe和taskmgr.exe两的进程。 解决思路: 确认是否可以调出任务管理器,如果系统告知无法找到taskmgr.exe请按照下述步骤1)确认你的xp版本(sp3,sp2,sp1?)2)找一台没有进程里没有debug的同版本的...
HTA,XUL技术的鼻祖
raylinn的博客
06-20 198
近几年来,XUL方兴未艾,以XAML(WPF),XUL等新技术,代表着一种以标记语言和脚本构造桌面应用程序的潮流,但是有一项Microsoft的技术却一直默默无名,这就是HTA技术,甚至有时候,它也背上了“木马”的恶名,但是HTA却是一切XUL技术的鼻祖。 MSHTA技术起源时间不详,我能查找的是的1999年3月发布的ie 5.0就带有mshta.exe运行时,(Win98SE),远远早于X...
病毒调试跟踪
笔记本
03-21 3023
跟踪一个反调试巨多的病毒样本 1.调用 QueryPerformanceCounter反调试,这个API调用了封装ZwQueryPerformanceCounter系统调用的ntdll!NtQueryPerformanceCounter 004060FA |. 3345 FC xor eax,[local.1] 004060FD |. 8945 FC ...
批处理编写(windows脚本文件)和一些简单的病毒
Little_Busters的博客
05-31 1257
本文主要介绍了批处理编写(windows脚本文件)的知识,并介绍了通过windows脚本的一些简单的病毒,如:蓝屏命令、恶意清空桌面等。
4.1 脚本病毒编写实验
qq_55202378的博客
07-26 2587
脚本病毒
掌握计算机病毒脚本编写: FileSystemObject 操作详解
"这篇文档是关于计算机病毒中的脚本病毒编写技术,主要通过示例代码展示了如何进行文件和注册表的操作。" 计算机病毒编写通常涉及高级编程和恶意软件技术,而脚本病毒则是利用脚本语言(如VBScript或JavaScript)来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值