word vba 压缩照片_技术分享丨Word宏样本分析

最新推荐文章于 2021-08-09 14:54:15 发布
最新推荐文章于 2021-08-09 14:54:15 发布
阅读量714 收藏 1
点赞数
文章标签: word vba 压缩照片 word清理代码

9d4f3b66bca96a5c39d946fc3417afb9.png

一. 起源

350ee9efe267323075e9a3a943083ea4.gif 前段时间看到了一个非常有意思的宏病毒样本分析,决定与各位一起分析一下。 迄今为止,VBA宏仍然是最流行的攻击媒介之一。本文分析多层混淆的VBA宏,其中包括VBA,WMI对象,Powershell,内联C#和BYPASS AMSI。

二. 初步分析

350ee9efe267323075e9a3a943083ea4.gif 我们首先在十六进制编辑器中检查.DOC。我们可以看到标头以PK开头,表示此类型的文件是ZIP。现代Microsoft Word文档实际上是ZIP文件,如果将文档从.DOC重命名为.ZIP,则可以解压缩内容。 87a65575b4ba9f5aef1004ad6f19bf7a.png b0f44efb6365c53b5ffda0a127204fbe.png 我们首先需要提权文档的vba宏,使用olevba即可提取。 e4d3741c1fd592cd139b75df04c54c0e.png 经过提取下面的宏 我们发现可以看到VBA代码的格式不正确(很可能是故意的)。因此,我们需要通过替换多余的换行符(“ \ n”),制表符(“ \ t”)和空格(“ \ s”)来对其进行清理,直到获得正确格式的VBA代码为止。这不是运行代码所必需的,但是,如果要在Microsoft Word的开发人员工具中对其进行调试,则需要多行代码才能放置断点。 经过代码整理,格式化后我们就可以看到以下的内容。 06f23743d33e81fdf43dc4e1d8a22d9c.png 我们可以看到以上代码基本都是经过混淆的代码,让我们在Microsoft Word中打开文档。 f4a6744e91dfb553868c3980925b9b53.png 复制替换为我们之前整理的代码。 553ac46eae799f27582f6ad325913cd6.png 同时我们也可以到自动执行的函数的位置。 b27b48e388197bcdf2c21018523f0afc.png 在VBA代码或文档内容,属性或设置中不容易看到/显示。我们首先在“ Sub Document_Open()”函数中放置一个断点。此功能是在打开Word文档时运行的功能。然后,我们运行将在断点处中断的脚本。 ff73fbc86ff2858d79eca4548994fbe2.png 这两个变量将被读入VBA脚本并进行解码。这是隐藏此脚本功能的地方。第一个变量被解码为WMI对象"winmgmts:\.\root\cimv2:Win32_Process",该对象负责启动第二个变量的内容。 d4d9e138772fedcd6265ea187a5d9db3.png 第二个变量被解码Powershell。 703660f80bae83dc64e36081109bf9c9.png 如果我们继续运行脚本,它将最终启动Powershell终端,并使用变量2中的解码脚本。在Powershell启动时,我们可以在系统日志中查看该脚本的内容。 80fcc8d914a83e5400480ed8e1f1ab76.png

三. powershell混淆

350ee9efe267323075e9a3a943083ea4.gif 依旧是代码混淆,现在我们已经提取了Powershell,我们可以再次清理一下代码,并通过替换“;”将其分成适当的行。用“; \ n”并固定行距。 4b438043f7d4eed2a90950fb29be54d0.png Powershell脚本非常简单。从清理后的代码中,我们可以在顶部看到一个去模糊函数,该函数负责解码中间变量中的文本斑点。我们还在脚本的底部看到一个“ Add-Type”行,该行正在调用“ c193b()”函数。这通常用于以与Powershell不同的编程语言来内联脚本。在这种情况下,我们看到脚本已解码了C#代码。 58501f11d61067625ebab3547641e4a5.png

四. C#混淆

350ee9efe267323075e9a3a943083ea4.gif 到目前为止,我们已经做到了。我们已经运行了启用VBA的Word文档,让它将隐藏的变量解码为通过WMI对象启动的混淆的Powershell,并且对混淆的Powershell进行了查找以找到内联的C#。我们快完成了。我们可以再次清理反混淆的代码,以便可以将其加载到适当的IDE中并进行调试。在这种情况下,我们拥有C#,因此我们可以在Visual Studio中启动一个新的C#项目,并将代码粘贴到“ Hello World”函数之后,如下所示。我们需要将“ using”语句放在顶部,然后将我们混淆处理的“ public class”代码粘贴到main函数下面。 972dc56dec41660e294b24c594058288.png 从我们的Powershell脚本中,我们看到它正在函数“ c193b()”处调用“ yba2983”类。因此,我们需要将其放置在程序“ Main”中,以便模仿Powershell的切换。确保在“ c193b”函数中放置一个断点,以便可以逐步完成它。

五. BYPASS AMSI

350ee9efe267323075e9a3a943083ea4.gif

防恶意软件扫描接口(AMSI)是更高版本的Microsoft Windows附带的系统保护,可帮助防御这些类型的攻击。Microsoft将AMSI描述为:

Windows反恶意软件扫描接口(AMSI)是一种通用接口标准,允许您的应用程序和服务与计算机上存在的任何反恶意软件产品集成。AMSI为您的最终用户及其数据,应用程序和工作负载提供了增强的恶意软件防护。

简单来说,“ amsi.dll”在系统上运行,并通过AmsiScanBuffer API强制所有脚本输出。因此,我们将在AmsiScanBuffer接口中检查我们发现的所有模糊文本,以进行可疑/恶意操作。如果找到任何内容,AMSI将拒绝执行脚本。有保护的地方就有旁路,这正是我们在C#代码开头找到的内容。 428cba82a78dad4614f8fe45d5022975.png e0394473ef315df3b56c3a0af9b5b6d5.png 这个特殊的bypass尝试使用“ amsi.dll”作为目标来调用“ loadlibrary”。如果成功,则表明系统上存在AMSI。接下来,代码将为AmsiScanBuffer接口调用“ GetProcAddress”,通过调用“ VirtualProtect”来取消保护其内存区域,然后通过对“ RtlMoveMemory”的调用有选择地修补“ amsi.dll”。通过修补“ amsi.dll”,他们删除了阻止脚本运行的保护性检查。

六. 终止

350ee9efe267323075e9a3a943083ea4.gif 如果我们继续调试C#代码,我们最终将对最终变量进行模糊处理,并显示预期下载的URL。 0a403b866e85e87a719daca02e36b828.png 由于服务器关闭并没有接下去进行分析,代码将创建一个新的WebClient连接,将可执行文件下载到一个临时空间中,并启动该过程。该恶意软件的第二阶段可能是远程访问特洛伊木马(RAT),银行恶意软件,勒索软件等。但是,本文的目的是演示如何分析第一阶段,而不遵循第二阶段的下载。 5edc208be698979c1f937203cf4ae17c.png 89d710678d3d38522726a0b800467ee4.png 参考链接: 样本下载地址: https://app.any.run/tasks/cca3277b-8f2d-43c4-9006-457af9be1883/ 文章参考: https://www.ringzerolabs.com/2020/10/obfuscated-vba-powershell-c.html

5300740a88d56d246c5bd04fb2a08ace.png

近 期 动 态

d0482c0a1ed232dd12404fedd78c9dd8.png 2197e1963e0452396e8a3736e32f2da7.png 2a12119d49ff4df07fa4ee4967ecb272.png 3dd301355d3121a4fec75ace58fef6fc.png 赛 事 案 例 a686cdaf83befd17b72f46b4b2d86deb.png dd5f32992a5e0ee5c54a9fb4960b0a69.png f5a14f3d3b29a821dd44bb625330072d.png 7ee8284e61f72789861b6feff0cdf6ab.png e0d461cabb7d1096ad1f18dcaec6f3ed.png b48bb5d8ab10ddcd3175af8bd909c266.png 19a070eea31d369868de187e73023a00.png 海 外 赛 事 e6c82c31680c358359e867dbcc92d436.png 18bf6eb5f7c3e82f949051c033f1942e.png b6b3ffafe5e94c3a78dd4f473234d1c9.png b0eeb40de3fca4386134f11023eacb86.png
weixin_39777543
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
word vba 压缩照片_一篇搞定图片压缩
weixin_39691055的博客
12-04 886
现在我们接触最多的文件应该就是图片了,不仅是我们自己拍的照片,还有我们参加的一些项目,一些屏幕截图等等,但是随着图片的质量不断提升,图片的大小也在飞速变化,10 年前的一张图片只有几 KB,现在的图片都已经达到几 MB 了,图片大了之后,储存变成了一个大问题。因此手机厂商不断扩大手机的存储空间,同时,很多云盘为了抓住用户也都推出了对应的存储服务,各大手机厂商的云备份,百度旗下的一刻相机,天翼云盘备...
vba 压缩图片_300张Word图片,1键统一大小尺寸!学会了同事都叫你大神
weixin_39891262的博客
12-14 916
今天一大早来到公司,脑残领导就来给我添堵:给了一份有几百张图片的Word文档,要我把这些图片统一大小、对齐...类似上面这种坑爹的事情,已经不是第一次发生了,在加了101天班之后,我终于凭借强大的毅力搞定了Word这个小妖精。处理近百张图片?没问题,交到我这1分钟就把你整得服服帖帖。批量调整图片尺寸/图片居中1、按「Alt + F8」快捷键,创建,输入名称「setpicsize」,如图所示:2、...
超级简单的自动刷新_Word小技巧|教你快速制作带照片的工作证,超级实用
weixin_39631767的博客
11-11 948
之前小编在Excel中利用控件制作的动态员工信息卡,更改从下拉菜单中选择任意一个员工编号后照片等个人信息就会随之变化,但是在打印的时候可能就不会那么方便了!其实vba也是可以实现批量打印的。但是今天小编想跟大家分享的是利用邮件合并功能打印准考证、员工信息卡、工作证(带照片的)超级简单!让你摆脱手动更改信息,批量打印不加班!第一步:准备资料首先将照片word文档和带有数据的EXCEL表格存放在同一...
OpenCV-python图像基础操作之均值模糊
是小武呀
09-23 561
OpenCV-python基础操作之对图像
word vba 压缩照片_图片压缩难?试试这样操作,一秒便能无损压缩图片,网友:实用...
weixin_39531037的博客
11-29 447
大家平时对于一些文档,图片,视频,如果想把它们压缩成更小的内存,那你们一般都是怎么操作的?下面就让小编来好好讲讲这个问题。一、电脑端操作1、使用Excel进行压缩如果你使用的是Excel来进行压缩操作,那么它可以帮助我们将图片的体积压缩得更小,这样一来就不用担心会占用电脑内存了,只要选中那张图片,然后点击【格式】-【图片压缩】,最后就可以将图片压缩成功了。2、使用在线压缩工具下面再为大家介绍一款在...
Word-vba.rar_VBa_vba word
09-20
微软Word_vba范例源代码,很类似于vb,简单易懂,易于学习使用。
批量生成excle转word文件.rar_VBA 生成word_VBa_drawevx_批量_批量填写word
09-21
excle批量转换word 填写模板,采用VBA编写,可自动生成自定义命名doc文件
Word-vba.rar_vba word
09-24
微软Word_vba范例源代码,很类似于vb,简单易懂,易于学习使用。
Word VBA批量为Word文档添加水印 文档/源代码
07-11
提前将水印效果的图片处理好(用Word、PPT、PS都可以)。 然后用此功能直接选择文件,就可以批量为Word文档添加水印了。 无论下面有多少层文件夹,都可以将每层文件夹里的docx和doc文件全部添加上想要的水印。 省...
excel_vba.rar_Excel VBA_MACRO EXCEL_VBa_excel vba教程_excel
09-20
速成教程,关于excel编程、vba编程。看完可以自己编写excel的和函数了。
vba处理word图像
12-17
vba word处理的一个例子
运行来自动压缩word中插入的所有图片
CrazyNotes的专栏
02-20 5284
扫描的图片插入word中太大了,影响网络传输,手工压缩的话,又不大方便,想了下办法,通过来操作比较可行,网上找了些代码,测试通过。   Sub CompressPic() '压缩word中嵌入的所有图片, SendKeys "w", False SendKeys "{ENTER}", False Word.CommandBars("Picture").FindControl(ID:
vba 保存word里面的图片_别再一张一张的保存Word图片了,效率太低!教你2招,批量搞定!...
weixin_39700063的博客
12-06 971
我们在浏览一些 Word 文档的时候,发现里面有些不错的图片,想全部保存下来,你会怎么操作呢?大多数朋友可能会一张一张的去另存为图片,这种效率太低下。所以,今天给大家分享两种批量导出文档中图片的方法。01另存为网页导出所有图片打开文档,进入「文件」-「另存为」-「这台电脑」,将「保存类型」设为「网页 (*.htm;*.html)」,然后「保存」,此时在文件夹中就会有一个“htm网页文件”...
word中批量缩小图片,删除行,删除重复图片vba代码
河姆的小屋
12-29 587
word中批量缩小图片,删除行,删除重复图片vba代码 好几年不打印微博了,复制后排了个版,改进了以前写的几个函数。 Sub sizepic() ' ' 缩小微博图片 ' ' Dim n '图片个数 On Error Resume Next '忽略错误 For n = 1 To ActiveDocument.InlineShapes.Count 'Shapes类型图片 Debug.Print ActiveDocument.InlineShapes(n).Width
vba 保存word里面的图片_Word中调整图片大小用这 4 招,一分钟搞定200张图片!
weixin_39803552的博客
12-05 1362
点击上方[word精品教程]-右上角[...]-[设为星标⭐]即可第一时间获取最新办公资讯如果你的Word中插入了几十甚至上百张图片,而且大小都不一样,为了美观,需要将所有的图片统一调整成相同的大小,你该不会一张张的调整吧?其实你完全可以不必这样,一起来看看下面4个解决方法:方法1当文档中插入多张图片时,如果想快速调统一图片的大小,我们可以通过【F4】快速调整。(1)选择某一张图片,在【...
word文档压缩图片
yoonhi
04-29 3930
首先示例文档属性截图 该文档里有大量的图图片 我们可以看到此时文档的大小为 78.4MB ----------------------------------------------------------------------------------------------- 步骤 1 打开文档 2 随便找到一张图片 右击 选择 图片选项 在弹出来的对话框中点击 压缩...
c#+文件服务器压缩图片,C#实现的图像压缩,大小压缩+质量压缩,可实现MB压缩到KB...
weixin_29616999的博客
08-09 403
【实例简介】使用C#完成的图像压缩,实现质量压缩,大小压缩,批量压缩。可选择读取图像输出到另一图像,可实现从界面中读取图像输出到图像,附全部代码+注释+开发过程。【实例截图】【核心代码】图像压缩├── 全部功能未封装成类│ ├── ImageChange1│ │ ├── bin│ │ │ └── Debug│ │ │ ├── ClassImage.dll...
word vba重新设置
最新发布
06-01
如果你想重新设置一个 Word VBA ,可以按照以下步骤操作: 1. 打开 Visual Basic 编辑器。在 Word 中,你可以按下 `Alt + F11` 快捷键来打开它。 2. 在左侧的“项目资源管理器”窗口中,展开“Microsoft Word 对象”节点,然后双击要修改的所在的模块,以打开它。 3. 修改代码。在模块窗口中,你可以修改代码,添加、删除或编辑代码行。 4. 保存修改。在编辑器窗口中,选择“文件”菜单,然后选择“保存”或“另存为”菜单项,以保存你的修改。 5. 关闭编辑器。完成修改后,你可以按下 `Alt + F4` 快捷键来关闭编辑器窗口。 注意,如果你修改了一个已经存在的,那么它将会被替换为新的代码。如果你想创建一个新的,可以按照以下步骤操作: 1. 打开 Visual Basic 编辑器。 2. 在左侧的“项目资源管理器”窗口中,展开“Microsoft Word 对象”节点,然后右键单击要添加的模块,选择“插入”菜单,然后选择“模块”菜单项,以创建一个新的模块。 3. 在新的模块窗口中,输入代码。 4. 保存修改。在编辑器窗口中,选择“文件”菜单,然后选择“保存”或“另存为”菜单项,以保存你的修改。 5. 关闭编辑器。完成修改后,你可以按下 `Alt + F4` 快捷键来关闭编辑器窗口。 如果你想删除一个,可以在编辑器窗口中选择要删除的所在的模块,然后按下 `Delete` 键来删除它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值