mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
fb47c0a89d
commit
141ff3ddab
@ -312,17 +312,17 @@ Injecition/Hollowingされたプロセスの自動検出<br>
|
||||
- VB Editor
|
||||
- debuggerでstep実行が可能?
|
||||
- 難読化解除の手順
|
||||
a. olevba等でvbaマクロコードを抽出
|
||||
b. 悪意のあるファイルを開いてdocx形式で保存し,閉じる
|
||||
1. olevba等でvbaマクロコードを抽出
|
||||
2. 悪意のあるファイルを開いてdocx形式で保存し,閉じる
|
||||
- [コンテンツを有効化]は押さない
|
||||
- [編集を有効にする]は押す
|
||||
c. olevba等で.docxファイルにマクロが含まれないことを確認する
|
||||
d. .docxファイルを開く
|
||||
3. olevba等で.docxファイルにマクロが含まれないことを確認する
|
||||
4. .docxファイルを開く
|
||||
- ActivXオブジェクトがある場合,[コンテンツを有効にする]を押す
|
||||
e. Alt+F11でVB Editorを開く
|
||||
f. 1.で抽出したVBAマクロコードのコピー
|
||||
g. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
|
||||
h. VB Editorのdebuggerで難読化解除
|
||||
5. Alt+F11でVB Editorを開く
|
||||
6. 1.で抽出したVBAマクロコードのコピー
|
||||
7. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
|
||||
8. VB Editorのdebuggerで難読化解除
|
||||
- ref:
|
||||
- [VBA Macro analysis: Beware of the Shift Key!](https://decalage.info/vbashift)
|
||||
- vbaData.xmlの削除
|
||||
|
Loading…
Reference in New Issue
Block a user