From 125fbc9247773d3dc57b760c1614fa037c0338db Mon Sep 17 00:00:00 2001 From: mether049 Date: Fri, 20 Mar 2020 05:12:35 +0900 Subject: [PATCH] Update malware-analysis_ref_and_memo.md --- malware-analysis_ref_and_memo.md | 20 ++++++++++---------- 1 file changed, 10 insertions(+), 10 deletions(-) diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 2cfc962..6e10aa1 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -281,21 +281,21 @@ Injecition/Hollowingされたプロセスの自動検出
- p-code - マクロコードをコンパイルした中間コード - ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが同じ場合,コンテンツが有効化された際に表示されるソースコードは**p-codeが逆コンパイルされたもの** - - ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが異なる場合,コンテンツが有効化された際に表示されるソースコードは**圧縮されたvbaソースコードを解凍したものである** + - ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが異なる場合,コンテンツが有効化された際に表示されるソースコードは**圧縮されたvbaソースコードを解凍したもの** - VB Editor - debuggerでstep実行が可能? - 難読化解除の手順 - 1. olevba等でvbaマクロコードを抽出 - 2. 悪意のあるファイルを開いてdocx形式で保存し,閉じる + a. olevba等でvbaマクロコードを抽出 + b. 悪意のあるファイルを開いてdocx形式で保存し,閉じる - [コンテンツを有効化]は押さない - [編集を有効にする]は押す - 3. olevba等で.docxファイルにマクロが含まれないことを確認する - 4. .docxファイルを開く + c. olevba等で.docxファイルにマクロが含まれないことを確認する + d. .docxファイルを開く - ActivXオブジェクトがある場合,[コンテンツを有効にする]を押す - 5. Alt+F11でVB Editorを開く - 6. 1.で抽出したVBAマクロコードのコピー - 7. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化 - 9. VB Editorのdebuggerで難読化解除 + e. Alt+F11でVB Editorを開く + f. 1.で抽出したVBAマクロコードのコピー + g. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化 + h. VB Editorのdebuggerで難読化解除 - ref: - [VBA Macro analysis: Beware of the Shift Key!](https://decalage.info/vbashift) - vbaData.xmlの削除 @@ -336,7 +336,7 @@ Injecition/Hollowingされたプロセスの自動検出
- RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出 - ref: - [oletools_cheatsheet.pdf](https://github.com/decalage2/oletools/blob/master/cheatsheet/oletools_cheatsheet.pdf) -- [ViperMonkey](https://github.com/decalage2/ViperMonkey) +- **[ViperMonkey](https://github.com/decalage2/ViperMonkey)** - VBAマクロの分析や難読化解除を行うためのVBAエミュレーションエンジン - **[Vba2Graph](https://github.com/MalwareCantFly/Vba2Graph)** - vbaのコールグラフを生成