nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity

Update malware-analysis_ref_and_memo.md

Browse Source
This commit is contained in:
mether049 2020-03-20 05:12:35 +09:00 committed by GitHub
parent fe07acf0bd
commit 125fbc9247
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 10 additions and 10 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

20
malware-analysis_ref_and_memo.md
View File

@ -281,21 +281,21 @@ Injecition/Hollowingされたプロセスの自動検出<br>
- p-code - p-code
- マクロコードをコンパイルした中間コード - マクロコードをコンパイルした中間コード
- ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが同じ場合コンテンツが有効化された際に表示されるソースコードは**p-codeが逆コンパイルされたもの** - ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが同じ場合コンテンツが有効化された際に表示されるソースコードは**p-codeが逆コンパイルされたもの**
- ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが異なる場合コンテンツが有効化された際に表示されるソースコードは**圧縮されたvbaソースコードを解凍したものである** - ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが異なる場合コンテンツが有効化された際に表示されるソースコードは**圧縮されたvbaソースコードを解凍したもの**
- VB Editor - VB Editor
- debuggerでstep実行が可能 - debuggerでstep実行が可能
- 難読化解除の手順 - 難読化解除の手順
1. olevba等でvbaマクロコードを抽出 a. olevba等でvbaマクロコードを抽出
2. 悪意のあるファイルを開いてdocx形式で保存し閉じる b. 悪意のあるファイルを開いてdocx形式で保存し閉じる
- [コンテンツを有効化]は押さない - [コンテンツを有効化]は押さない
- [編集を有効にする]は押す - [編集を有効にする]は押す
3. olevba等で.docxファイルにマクロが含まれないことを確認する c. olevba等で.docxファイルにマクロが含まれないことを確認する
4. .docxファイルを開く d. .docxファイルを開く
- ActivXオブジェクトがある場合[コンテンツを有効にする]を押す - ActivXオブジェクトがある場合[コンテンツを有効にする]を押す
5. Alt+F11でVB Editorを開く e. Alt+F11でVB Editorを開く
6. 1.で抽出したVBAマクロコードのコピー f. 1.で抽出したVBAマクロコードのコピー
7. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化 g. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
9. VB Editorのdebuggerで難読化解除 h. VB Editorのdebuggerで難読化解除
- ref: - ref:
- [VBA Macro analysis: Beware of the Shift Key!](https://decalage.info/vbashift) - [VBA Macro analysis: Beware of the Shift Key!](https://decalage.info/vbashift)
- vbaData.xmlの削除 - vbaData.xmlの削除
@ -336,7 +336,7 @@ Injecition/Hollowingされたプロセスの自動検出<br>
- RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出 - RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出
- ref: - ref:
- [oletools_cheatsheet.pdf](https://github.com/decalage2/oletools/blob/master/cheatsheet/oletools_cheatsheet.pdf) - [oletools_cheatsheet.pdf](https://github.com/decalage2/oletools/blob/master/cheatsheet/oletools_cheatsheet.pdf)
- [ViperMonkey](https://github.com/decalage2/ViperMonkey) - **[ViperMonkey](https://github.com/decalage2/ViperMonkey)**
- VBAマクロの分析や難読化解除を行うためのVBAエミュレーションエンジン - VBAマクロの分析や難読化解除を行うためのVBAエミュレーションエンジン
- **[Vba2Graph](https://github.com/MalwareCantFly/Vba2Graph)** - **[Vba2Graph](https://github.com/MalwareCantFly/Vba2Graph)**
- vbaのコールグラフを生成 - vbaのコールグラフを生成