宏病毒分析要点

最新推荐文章于 2024-12-23 09:32:56 发布
最新推荐文章于 2024-12-23 09:32:56 发布
阅读量615 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42539095/article/details/103713324
版权

练习过一些宏病毒,总结一些最基本的方法
一.查看
提示启用内容,选择启用

在这里插入图片描述
Alt+F11即可查看宏代码
在这里插入图片描述
二.加密
部分宏加了密码
在这里插入图片描述
可以用如下工具破解
在这里插入图片描述三.快速查找关键语句
大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来
在这里插入图片描述
选择左侧点击即可下断
在这里插入图片描述
然后运行
在这里插入图片描述
本地窗口查看,调试
在这里插入图片描述
添加监视即可看到关键部分,大多数时候是释放一个可执行文件
在这里插入图片描述
四.动态监视
对于部分宏病毒可以直接通过动态监视的方法获得关键信息所用工具
在这里插入图片描述
Ctrl+T可以查看进程树
在这里插入图片描述
我们的思路是先打开监控工具,然后运行病毒样本,然后查看进程树比如它调用了powershell
在这里插入图片描述
我们可以在命令行中看到相应执行的参数然后把它复制出来用notepad++处理一下即可
在这里插入图片描述
大多数时候多是base64编码的,可以用notepad++自带的插件解密
在这里插入图片描述
四.静态处理
Oledump -s a -v xxx.doc >aa.txt
在这里插入图片描述
然后就可以在txt文件中看到宏代码

c_404
关注
[系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
02-04 8668
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-202
宏病毒混淆分析
A_ZHAZHAL的博客
03-05 1003
前言 很早之前就说要分析宏病毒,一直没机会,现在终于有空闲时间来分析一个混淆的比较厉害的宏病毒了。 静态分析 分析宏病毒时,可以利用 oledump.py 来将宏代码提取出来再进行分析。 使用命令 python oledump.py 文件名,即可查看文件流信息。 下图中的 M 表示该段中有宏代码。 python oledump.py -s 8 -v 11.dat >1.txt 可以将8段...
宏与宏病毒——学习笔记
Yoo_666的博客
07-17 1931
文章目录前言宏定义宏病毒定义系统要求/特性支持系统特点共性Word宏病毒(若对宏或宏病毒有一定了解可直接跳转于此)工作原理Word宏及其运行条件判断方法清除方法预防方法经典宏病毒参考文献 前言 宏 定义 在百度百科的解释是:宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言Visual Basic将宏作为一系列指令来编写。结合定义及其他技术博客,个人
宏病毒的研究与实例分析01——基础篇
鬼手的博客
03-10 1万+
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
宏病毒学习总结
bcbobo21cn的专栏
04-03 5454
宏病毒及其防治方法总结 http://www.educity.cn/labs/563436.html   如果说宏病毒的出现曾经给反病毒软件厂商出了一道难题的话,那么电脑网络特别是因特网的出现在给人们的信息 交流带来极大方便的同时,也给计算机病毒、特别是宏病毒的传播提供了空前便利的条件,今天的计算机用户比以往任 何时候都更加真实地面对它的威胁。      一、宏
宏病毒分析
weixin_44156885的博客
10-25 1816
文章目录基本信息一,概述二,流程图三,技术细节详细分析宏exchangeX.dll61B00.dll进程行为注册表行为网络行为四,样本溯源五,查杀&恢复方案六,防护建议 基本信息 FileName FileType FileSize packer MD5 sample4.xls 宏病毒 338 KB no 3effeba64d9a1a4dd1bddaeb1858e4d0 ...
【安全报告撰写】:如何有效沟通APP病毒分析结果
本文详细介绍了APP病毒分析的基础知识,包括病毒定义、分类、感染方式,以及静态分析、动态分析和沙箱技术等关键分析技术。此外,文章还探讨了安全报告的结构、内容撰写和视觉呈现技巧,强调了报告撰写实践中的准备...
系统分析师第二版口诀
最新发布
福大大架构师每日一题
12-23 2681
(数据挖掘的常用技术:决策树方法、分类方法、粗糙集方法、神经网络、关联规则、概念树方法、遗传算法、依赖性分析、公式发现、统计分析方法、模糊论方法、可视化分析)P184。(按照应用领域(或所属学科)不同,可对模型进行分类,如人口模型、交通模型、环境模型、生态模型、城镇规划模型、水资源模型、再生资源利用模型、污染模型等。(透明性:访问透明性、位置透明性、并发透明性、复制透明性、故障透明性、移动透明性、性能透明性、伸缩透明性。访问透明性和位置透明性统称为网络透明性。
【EBpro宏指令案例实战】:分析与解决方案全解析
[【EBpro宏指令案例实战】:分析与解决方案全解析](https://www.macros.com/wp-content/uploads/2022/01/Window-Control-Thumbnail.png) 参考资源链接:[威纶通宏指令详解:EasyBuilder Pro V4.00.01]...
计算机一级理论知识要点.pdf
10-05
- **分类**:引导区病毒、文件型病毒、混合型病毒、宏病毒、Internet病毒。 - **防治**:专机专用、写保护、固定启动方式、安装防病毒软件等。 了解这些基础知识对于理解和使用计算机至关重要,无论是日常操作...
计算机病毒课件:深入解析与防护指南
例如,CIH病毒和梅利莎(Melissa)宏病毒是计算机历史上著名的病毒案例。 2. **计算机病毒的类型**: - **引导型病毒**:感染磁盘引导区,当计算机启动时加载病毒程序。 - **文件型病毒**:感染可执行文件(.exe, ...
记一次宏病毒分析
Boom!脑洞大爆炸的博客
06-18 933
记一次宏病毒分析
宏病毒的研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到的宏代码如下: Attribute VB_Name = "Module1" Sub Auto_Open...
宏病毒的研究与实例分析03——宏病毒处理篇
鬼手的博客
03-11 3588
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明 在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒宏病毒处理思路 破坏宏标志 在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...
宏病毒分析技巧 - 绕过密码保护
u012871930的博客
03-18 494
分析宏病毒样本时,偶尔会遇到带密码的宏病毒样本,有些工具可以直接读取或绕过输入密码 这里使用一种简单粗暴的方法来绕过宏密码保护,使用任意一款16进制编辑器,搜索DPB 将其修改为DPX 保存后,重新打开宏病毒样本,WORD弹出错误提示,点击 是 使用ALT+F11打开宏编辑器,然后打开右键Project属性 在属性窗口->保护 我们可以取消密码保护,或输入一个新密码 这里...
宏基因组中的病毒组分析(1)病毒序列的鉴定geNomad
weixin_57129211的博客
08-29 2178
geNomad病毒序列鉴定方法—学习记录
Word宏病毒实验
m0_60525421的博客
10-16 1516
ans$ = InputBox$("今天是" + Date$ + ",跟你玩一个心算游戏" + Chr$(13) + "若你答错,只好接受震撼教育......" + Chr$(13) + tog$, "台湾NO.1 Macro Virus")实际上,模板的病毒代码只要在处理最后一个受感染文件时清除即可,然而清除模板病毒后,如果重新打开其他已感染文件,模板将再次被感染,因此为了保证病毒被清除,可以查看每一个受感染文档的模板,如果存在病毒代码,都进行一次清除。关闭文档的时候也会执行同样的询问。
宏病毒刨析
4SecNet团队专栏
12-09 632
拿到宏病毒之后,先使用oledump.py工具进行宏数据流得查看: 通过查看数据流可以发现,在第八段和第九段有宏代码,同时需要注意在第十二的数据虽然没有宏代码 ,但是第12段数据大小却是很可疑需要注意一下,同时也可以将第八段和第九段以及第十二段 这三段数据dump出来 进行查看。这里采用宏病毒动态调试的方式: 打开文件之后,存在安全警告: 这个时候,可以使用快捷键 打开并且查看宏代码(a...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值