Loading... **总结:** * olevba提取宏代码,会生成一个简单的报告(重要); * 动态调试,可参考报告中的关键字下断点(如shell,可修改vba宏脚本输出shell的参数); * shell命令被混淆加密,一般会拼接字符串“posershell”,混淆字符串"IEX",其它的字符串便可放入powershell去调试输出(powershell命令都可到powershell去调试,很好用); * 当然也可用procmon等工具监测行为。 `纯粹的宏能做到的事情实际上是有限的,一般是对文档或模板的操作。而宏病毒往往是作为payload的载体,通过创建其它例程,释放运行payload。无论宏病毒前面执行了多么复杂的操作,最后肯定会运行payload,而运行payload的方式可能是Shell、WScript.Shell、Application.Run等,我们可以直接搜索这些字符串迅速定位到运行payload的地址。` 最后修改:2021 年 08 月 04 日 03 : 14 PM © 允许规范转载