Loading... ole复合格式:  一样的使用olevba提取宏代码,并查看分析报告:  很多混淆,但分析到这里我们已经掌握了宏病毒分析的技巧了,无所畏惧,^~^  定位到“shell”,修改宏脚本输出其内容:  这里参数2无实际数据,重点分析参数1,简单整理如下:  实际上是使用的cmd执行powershell命令,“powershell”还是被拆分为六个部分,拼接而来;最后的字符串依旧是熟悉的IEX,把中间的字符串放入powershell,重定向输出,简单整理如下:  代码很清晰了,有一堆URL,依次从这些URL中下载文件并运行。 至此,其宏功能分析完成。 最后修改:2021 年 08 月 04 日 03 : 20 PM © 允许规范转载