一个搞笑的宏病毒apmp kill

最新推荐文章于 2023-11-13 15:58:36 发布
最新推荐文章于 2023-11-13 15:58:36 发布
阅读量3.5k 收藏 6
点赞数 4
文章标签: macro apmp apmp.kill Thus.A
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43231078/article/details/89006797
版权
本文讲述了作者在分析一个钓鱼邮件附件时,发现了一个名为apmp.kill的宏病毒免疫程序。该程序使用病毒代码来实现自我免疫,作者对此表示惊讶,并批评了沙箱和杀软的误报问题,同时指出微步云沙箱在OLE分析上的不足。文章还提及安装oletools以方便后续分析。
摘要由CSDN通过智能技术生成

今天公司的没什么乱用的沙箱又报警了,还是老样子,钓鱼邮件。

黄老师把邮件发过来,我看了下

标题是xxx会议通知,附件一个doc,一个rar:

可疑的邮件

会议通知,看上去确实比较可疑。先用winhex打开rar。

只有ace格式才会被恶意解析。再看内容是3个jpg。看上去没啥问题。好下一个。

再看doc。

处理doc的原则是千万别在实体机上点开任何doc,教训太惨痛……我这台机器又没有装虚拟环境,借用微步云沙箱看看。。。。修改文件名,上传。这里必须注意涉密文件万不能上传。

一看吓一跳。

难道沙箱办了回人事?

再一看代码,这有短短的一小段

最低0.47元/天 解锁文章
wdxrm
关注
感染型宏病毒原理
yellow的博客
07-11 1086
宏病毒感染原理
APMP
weixin_34347651的博客
12-05 1308
1) 宏病毒代码自我隐藏2) 感染其他打开的word文档3) 检查感染标志“APMP”'APMP'KILLPrivate Sub DocumentOpen()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.VirusProtection = FalseOptions.SaveNormalPrompt = FalseMy...
宏病毒免疫
11-22
在公司办公经常遇到宏病毒,有的时候打开excel,就自动新建名字为marco的sheet工作簿,或者自动发邮件,杀毒软件难以清除。 本免疫工具在启动excel时自动加载,先清除带宏病毒的模块,我自己用了很久了,还不错,分享给大家!
一个宏病毒样本
WLINX
12-09 2475
在未知的道路上越来越菜——2019.10.18 拿到一个新样本,却连最基本的宏病毒都没分析清楚,是真的菜,首先,分析要有一个方向,方向错了,便会浪费很多时间,而从事安全这个行业,时间是异常宝贵的。所以,感觉自己需要写一篇博客来提醒自己...... 1、提取宏 首先这是一个宏病毒,多的不说,如果不想观察宏病毒的动态行为,就没必要打开宏病毒,用工具提取。前提是你得先装工具。 然后查看宏,心...
记一次宏病毒分析
Boom!脑洞大爆炸的博客
06-18 706
记一次宏病毒分析
打开word文档总是自动弹出控件工具条的解决办法:
weixin_34266504的博客
02-16 1308
打开word文档总是自动弹出控件工具条的解决办法:1、查看是否word文档和模板中了'apmp宏病毒,按ALT+F11组合键,双击当前文档下属的ThisDocument,清空里面的内容;双击Normal-Micorsoft word对象-ThisDocument,清空里面的内容。然后把word宏安全性设置为高,即可防止宏病毒再次感染,切勿照着网上说的把word宏安全性设置为低。如果确定有宏病毒,建...
PMP最后一个月冲刺复习资料2022更新
02-25
2.PMP考试情景分析题的三十六种套路精华版V2.0.pdf 3.2021年下半年最新考纲.pdf 4.PMP考试技巧.pdf 5.PMP 备考指南之计算题汇总.pdf 6.PMP固定答题思路.pdf 7.可交付成果.pdf 8.项目管理详细任务.pdf 9.挣值计算汇总...
教育科研-学习工具-APMP制浆废液与聚丙烯酰胺复配改性制备瓦楞纸表面施胶剂.zip
08-10
在教育科研领域,APMP(Alkaline Peroxide Mechanical Pulp)制浆技术是一种重要的造纸工艺,主要用于生产高质量的纸浆。此技术涉及到化学和机械处理,通过使用氢氧化钠和过氧化氢来分离纤维,同时去除木质素和其他...
Excel如何破解vba的宏密码及恶意文档样本分析
小龙人
02-07 7290
EXCEL破解VB宏密码,即解除工程属性的密码,恶意文档样本分析
几百封钓鱼邮件如何分析?一个简单的方法告诉你!
最新发布
m0_73409141的博客
11-13 3106
这个是在 document.xml.rels 中存在的链接,主要是一个 words 远程宏文件加载的作用,当用户点击 word,启用宏之后就会远程加载该宏文件,因此对于大部分人来说,一般也用不到宏文件,所以能够禁用就绝对禁用!前几天的时候收到一批钓鱼邮件需要分析,打开一看就傻了眼,大概有几百封,而且基本上每一封都是钓鱼邮件,第一反应是很崩溃,这么多如何分析?前几天的时候收到一批钓鱼邮件需要分析,打开一看就傻了眼,大概有几百封,而且基本上每一封都是钓鱼邮件,第一反应是很崩溃,这么多如何分析?
office宏病毒专杀
aeaxea43的博客
05-04 1298
给有需要的兄弟。 http://kk04.cn/f-6281.html
滑稽(好像会动)!
weixin_33968104的博客
05-14 406
20181101004,陈浩 20181101012,任天旭  1 from turtle import* 2 x = Turtle() 3 y = Turtle() 4 speed(7) 5 setup(600,600,200,200) 6 #脸 7 penup() 8 goto(-210,0) 9 seth(-90) 10...
xls文件感染宏病毒的处理方法
zhhyyspy的专栏
03-18 5098
今天老师给了一个感染了宏病毒的XLS文件,QQ杀毒检不出病毒(这娱乐杀毒软件当然了) 具体表现为打开后会不断重复打开本文件,导致打开的窗口指数增加,最终死机 U盘拷回来后,windows defender立即检测出了病毒 问题不在于杀毒,而是在于杀毒后怎么保留XLS里面的信息,就是无损杀毒 WD提供的选项只有隔离和删除,文件也不给你打开
简单宏病毒研究
richard1230的博客
03-13 3592
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...
Word宏病毒
热门推荐
qq_43717119的博客
06-22 1万+
Word宏病毒 【实验目的】 1、演示宏的编写。 2、说明宏的原理及其安全漏洞和缺陷。 3、理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 【实验环境】 在windows虚拟机中演示word宏病毒的发生机制,以及如何清除病毒的一系列操作宏病毒样本:自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt) 实验注意事项:为了保证该试验不至于造成较大破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 【实验预备知识点】 Wo
一个并行主端口PMP的驱动代码
06-06
好的,这里给出一个简单的PMP驱动代码示例,它可以在Linux内核中实现PMP的读写操作。 首先,需要创建一个新的驱动文件,例如`pmp_driver.c`,然后在该文件中定义PMP驱动的相关函数。以下是一个简单的驱动代码示例: ``` #include <linux/module.h> #include <linux/platform_device.h> #include <linux/io.h> #define PMP_BASE_ADDRESS 0x1000 // PMP的基地址 static void __iomem *pmp_regs; // 定义PMP寄存器指针 static int pmp_probe(struct platform_device *pdev) { struct resource *res; printk(KERN_INFO "PMP driver probe\n"); // 获取PMP的资源信息 res = platform_get_resource(pdev, IORESOURCE_MEM, 0); if (!res) { printk(KERN_ERR "Failed to get PMP memory resource\n"); return -ENODEV; } // 映射PMP的物理地址到内核虚拟地址 pmp_regs = devm_ioremap_resource(&pdev->dev, res); if (IS_ERR(pmp_regs)) { printk(KERN_ERR "Failed to map PMP memory\n"); return PTR_ERR(pmp_regs); } // TODO: 对PMP进行初始化配置 return 0; } static int pmp_remove(struct platform_device *pdev) { printk(KERN_INFO "PMP driver remove\n"); // TODO: 对PMP进行关闭和清理 return 0; } static const struct of_device_id pmp_of_match[] = { { .compatible = "vendor,pmp" }, {}, }; MODULE_DEVICE_TABLE(of, pmp_of_match); static struct platform_driver pmp_driver = { .driver = { .name = "pmp", .of_match_table = pmp_of_match, }, .probe = pmp_probe, .remove = pmp_remove, }; module_platform_driver(pmp_driver); MODULE_AUTHOR("Your Name"); MODULE_DESCRIPTION("PMP driver"); MODULE_LICENSE("GPL"); ``` 在上述代码中,我们定义了一个PMP驱动,其中`pmp_probe()`函数用于初始化PMP,`pmp_remove()`函数用于清理和关闭PMP。在`pmp_probe()`函数中,我们首先通过`platform_get_resource()`函数获取PMP的资源信息,然后通过`devm_ioremap_resource()`函数将PMP的物理地址映射到内核虚拟地址,最后对PMP进行初始化配置。在`pmp_remove()`函数中,我们对PMP进行关闭和清理操作。 注意,这里我们只是简单地定义了一个PMP驱动,并没有对PMP进行具体的读写操作。如果需要实现PMP的读写功能,需要在驱动代码中添加相应的函数来实现。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值