首页
社区
课程
招聘
[求助]求助帮忙分析一下这个样本
发表于: 2022-1-11 16:02 9908

[求助]求助帮忙分析一下这个样本

2022-1-11 16:02
9908

之前遇见的xlsb文档释放的病毒,自己实力不行,没能分析明白,求助大神帮忙分析下,我想学习一下。
解压密码:password


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-1-11 16:03 被b1ackie编辑 ,原因:
上传的附件:
收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 312
活跃值: (613)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
2
你把xlsb的文档发出来看看
2022-1-11 18:02
0
雪    币: 312
活跃值: (613)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
3
基地址:0x400000 00453FBC这个位置 加载资源 解密shellcode
2022-1-12 11:23
0
雪    币: 20
活跃值: (303)
能力值: ( LV2,RANK:12 )
在线值:
发帖
回帖
粉丝
4
秋落 基地址:0x400000 00453FBC这个位置 加载资源 解密shellcode
自加载的shellcode,包括向explorer.exe注入的shellcode,我都找到了,但是还是不能够理清样本整个的行为,就是想看看大神把整个样本的行为理清一下,我学习一下
2022-1-12 11:42
0
雪    币: 20
活跃值: (303)
能力值: ( LV2,RANK:12 )
在线值:
发帖
回帖
粉丝
5
秋落 你把xlsb的文档发出来看看
文档就是非常简单的宏,下载了这个OCX文件,没有其他的信息
2022-1-12 11:43
0
雪    币: 20
活跃值: (303)
能力值: ( LV2,RANK:12 )
在线值:
发帖
回帖
粉丝
6
我个人的分析,就是这个OCX文件是一个PE装载器,然后会向explorer.exe注入shellcode,自加载的shellcode,注入的shellcode,我都找到了,但是都没有分析的明白,注入的shellcode形式,我也是第一次见到,确实很多地方都看不明白,就是希望大神能够把整个样本的行为理清一下,学习一下
2022-1-12 11:49
0
雪    币: 122
活跃值: (7471)
能力值: ( LV9,RANK:335 )
在线值:
发帖
回帖
粉丝
7
b1ackie 我个人的分析,就是这个OCX文件是一个PE装载器,然后会向explorer.exe注入shellcode,自加载的shellcode,注入的shellcode,我都找到了,但是都没有分析的明白,注入的 ...

你以为你分析到了shellcode,其实你还没有开始分析。

2022-1-12 18:35
0
雪    币: 20
活跃值: (303)
能力值: ( LV2,RANK:12 )
在线值:
发帖
回帖
粉丝
8
PlaneJun 你以为你分析到了shellcode,其实你还没有开始分析。
是的,我只是看出了一点皮毛,很多地方我都没看懂,所以发出来,想学习一下
2022-1-12 20:33
0
雪    币: 4105
活跃值: (5807)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
9
PlaneJun 你以为你分析到了shellcode,其实你还没有开始分析。
大佬,公布一下过程。
2022-1-14 14:52
0
雪    币: 2016
活跃值: (3521)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
10
我也在分析一个类似的,我分析那个是一个doc文件,之后利用了flash的一个漏洞,我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做,我将这doc文件拖入od时od就会提示这不是一个PE文件,谢谢大佬
2022-1-17 09:22
0
雪    币: 4105
活跃值: (5807)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
11
g0mx 我也在分析一个类似的,我分析那个是一个doc文件,之后利用了flash的一个漏洞,我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做,我将这doc文件拖入od时od就会提示这不是一个PE ...

用oledump试试

最后于 2022-1-17 13:51 被badboyl编辑 ,原因:
2022-1-17 13:51
0
雪    币: 4105
活跃值: (5807)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
12
b1ackie 自加载的shellcode,包括向explorer.exe注入的shellcode,我都找到了,但是还是不能够理清样本整个的行为,就是想看看大神把整个样本的行为理清一下,我学习一下
我大概也就分析到了一个释放的dll,大概是用ZwUnmapViewOfSection卸载并替换内存镜像。
2022-1-17 17:43
0
雪    币: 20
活跃值: (303)
能力值: ( LV2,RANK:12 )
在线值:
发帖
回帖
粉丝
13
g0mx 我也在分析一个类似的,我分析那个是一个doc文件,之后利用了flash的一个漏洞,我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做,我将这doc文件拖入od时od就会提示这不是一个PE ...
OD只可以动调PE文件,拖DOC进去,肯定是不行的
2022-1-17 17:56
0
雪    币: 2016
活跃值: (3521)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
14
目前分析的这个样本,并不是一个宏病毒,这个样本利用了一个flash的漏洞,之后从远程下载木马,我大体理解是这个流程,但是现在无法动态调试,我只能依靠静态分析找的漏洞的利用函数,但是具体这个样本是怎么做的我无法理解也无法分析。
2022-1-18 09:45
0
雪    币: 4105
活跃值: (5807)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
15
g0mx 目前分析的这个样本,并不是一个宏病毒,这个样本利用了一个flash的漏洞,之后从远程下载木马,我大体理解是这个流程,但是现在无法动态调试,我只能依靠静态分析找的漏洞的利用函数,但是具体这个样本是怎么做 ...
哪儿看到了利用flash漏洞?你跟我分析的不是一个样本?
2022-4-11 10:38
0
游客
登录 | 注册 方可回帖
返回
//