Loading... **案例一 (了解如何动态调试)** 样本来源:https://app.any.run/tasks/c9662466-6463-42b4-ba14-5dfb41a7f44b/# ole复合格式,使用工具olevba.exe提取其中的宏代码:   olevba.exe在提取宏代码的同时,也会在最后生成一个分析报告,包含一些关键字以及潜在的IOC(ip地址、URL、可执行文件名等),还可以检测和解码几种常见的混淆方式(十六进制、反转字符串、base64、dirdex、vba表达式),这对分析有很大的帮助。  使用olevba.exe提取的宏脚本,有很多注释语句,变量名也被混淆了,正好是个不错的样本,需要动态调试查看。  动态调试查看,点击视图开启立即窗口、本地窗口和监视窗口。  在分析调试的时候,就可以根据报告中的关键字来分析和下断点。从报告中可以看到,在文档关闭的时候会自动执行,所以优先关注Sub Document_Close();此外还有写文件、CallByName等,我们可以在对应的地方下断点: 创建文件c:\users\sam\Downloads\deer.ini :  先对字符串进行了base64的解密,再写入文件c:\users\sam\Downloads\deer.ini :   执行生成的vba脚本:  写注册表实现自启动:  接下来分析base64解密的文件c:\users\sam\Downloads\deer.ini,创建一个word,启动visual Basic编辑器,并将beer.ini的内容复制进去,需要注意的是直接复制进去以后没法调试,需要在开头添**Document_Close**函数,**End Sub**包裹住开头的那一段裸露的代码段:   这样即可正常调试! 首先创建了一个字符串c:\users\sam\deer.exe:  写注册表:  使用WMI测试是否能ping通coalula.online:  可以使用debug.print调试输出rul,得到一个网址:“http://83.166.240.31/get.php?independent=”,调试时该url已经关闭了,没法继续往下分析。  小结: 1.word解密释放c:\users\sam\Downloads\deer.ini (vbs脚本); 2.设置注册表自启动deer.ini:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer; 3.执行生成的deer.ini; 4.设置两个注册表: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\AccessVBOM, HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\VBAWarnings; 5.获取coagula.online的ip; 6.访问http://83.166.240.31/get.php?independent=,获取deer.exe的内容(猜测); 注:对于提取的vb代码可以新建文档动态调试。 参考链接:https://mp.weixin.qq.com/s/4YQ-wbzM0mCLOiUad5wpNg 最后修改:2021 年 08 月 03 日 04 : 14 PM © 允许规范转载