详细内容或原文请订阅后点击阅览

恶意软件分析,第2部分:单词宏中的代码

2018年12月18日 10:23 33 Comments
X Twitter Instagram Mail

在第1部分中,我们定义了什么是混淆的代码,可以使用的是什么,我们研究了一些用少量混淆的代码。既然我们已经涵盖了基础知识,我们将使用每天遇到的更具体的情况来继续进行严肃的事情,也就是说,是一个带有宏的词文件!

来源:Vade _恶意软件-勒索软件
在第1部分中,我们定义了什么是混淆的代码,可以使用的是什么,我们研究了一些用少量混淆的代码。现在我们已经涵盖了基础知识,我们将使用每天遇到的更具体的情况来继续进行严肃的事情 - 即,一个带有宏!Office文档(Word,excel,PowerPoint等)的Word文件和PDF是电子邮件传播恶意软件攻击的最常用格式。这些文档使用的主要方法是使用宏,这就是我们今天要看到的。宏是什么,可以使用什么?为了回答这个问题,没有什么比引用Microsoft的官方定义更好的:宏是您在单个命令中分组以自动执行任务的一系列命令和说明。因此,恶意办公室文件将使用宏来在受害者的计算机上执行代码。今天,我们将看到宏如何被混淆,以及如何理解他们在做什么。该分析将比上一篇文章更为复杂,但不要惊慌,我们会逐步进行。代码的一段不是很多...我们走了,我们离开了!我们将研究的代码来自下面的Word文件中包含的宏。Filetypesha1virustotalvirusbayworda8a1b0191d35b4530afacab33cffb751d42d42d42d3d64linklinklinklinklinkas您可以查看(上方)Macro的代码。混淆是相当成功的,即使仍然可以在代码中读取一些关键字。line7:我们注意到“ md”,“/v”,“:on/c”,然后在“ s^e^t”(set)上进一步。 这使我们表明宏将通过Windows命令提示执行代码。Line176:我们可以读取一个“ for”和“ in”,这似乎是一个循环。线178和181:有一个“ do”,“ do”,“ set”,“ set”,“ if”和“ equ”。这一切似乎都表明代码将执行内部测试的循环。在本文中,如果我们仔细查看第176行的开头,我们可以读取“ P”;现在让我们看一下第174行:如果我们
代码 Word 计算机 set 攻击 代码的 命令 执行 电子邮件 注意到 继续进行 混淆 文档 使用 具体的 一系列 定义 恶意 办公室 文件 读取 do 下面的 使用的 测试的 研究的 宏是