刘收获

摘要： 记录某次恶意宏分析 样本来源：https://mp.weixin.qq.com/s/xzO3pG45CNN-HGKDokI92A 可以用取巧的方式来进行宏调试，纯粹的宏能做到事情实际上是有限的，一般是对文档或 模板的操作。而宏病毒往往是作为payload的载体，通过创建其他例程，释放运行payloa 阅读全文

摘要： 0x01破坏宏标志 在解析OLE文件时，我们介绍过Directory，其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非 法，1为目录（storage），2为节点（Stream），5为根节点。 我们可以定位宏工程所使用的Directory，将Type位修改为0，即非 阅读全文

摘要： Office文档（如：.doc、.ppt、.xls等）很多是复合文档（OLE文件），所有文件数据都是存储在一个或多个流中。每 个流都有一个相似的数据结构，用于存储元数据的数据结构。这些元数据有用户和系统的信息、文件属性、格式信 息、文本内容、媒体内容。宏代码信息也是以这种方式存储在复合文档中的。为了在O 阅读全文

摘要： 0x01实例一 这段宏首先拼接了一段字符串CGJKIYRSDGHJHGFFG，这段字符串是一段命令，接下来就调用Shell() ，执行这段命 令。但是CGJKIYRSDGHJHGFFG的内容经过混淆，我们没办法一眼看出执行了什么命令，我们可以改造宏代码，使用 Msgbox将CGJKIYRSDGHJH 阅读全文