nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity

Update malware-analysis_ref_and_memo.md

Browse Source
This commit is contained in:
mether049 2020-03-20 15:09:40 +09:00 committed by GitHub
parent fb47c0a89d
commit 141ff3ddab
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 8 additions and 8 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

16
malware-analysis_ref_and_memo.md
View File

@ -312,17 +312,17 @@ Injecition/Hollowingされたプロセスの自動検出<br>
- VB Editor
- debuggerでstep実行が可能
- 難読化解除の手順
a. olevba等でvbaマクロコードを抽出
b. 悪意のあるファイルを開いてdocx形式で保存し閉じる
1. olevba等でvbaマクロコードを抽出
2. 悪意のあるファイルを開いてdocx形式で保存し閉じる
- [コンテンツを有効化]は押さない
- [編集を有効にする]は押す
c. olevba等で.docxファイルにマクロが含まれないことを確認する
d. .docxファイルを開く
3. olevba等で.docxファイルにマクロが含まれないことを確認する
4. .docxファイルを開く
- ActivXオブジェクトがある場合[コンテンツを有効にする]を押す
e. Alt+F11でVB Editorを開く
f. 1.で抽出したVBAマクロコードのコピー
g. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
h. VB Editorのdebuggerで難読化解除
5. Alt+F11でVB Editorを開く
6. 1.で抽出したVBAマクロコードのコピー
7. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
8. VB Editorのdebuggerで難読化解除
- ref:
- [VBA Macro analysis: Beware of the Shift Key!](https://decalage.info/vbashift)
- vbaData.xmlの削除