能力值:
( LV2,RANK:15 )
|
-
-
2 楼
你把xlsb的文档发出来看看
|
能力值:
( LV2,RANK:15 )
|
-
-
3 楼
基地址:0x400000 00453FBC这个位置 加载资源 解密shellcode
|
能力值:
( LV2,RANK:12 )
|
-
-
4 楼
秋落
基地址:0x400000 00453FBC这个位置 加载资源 解密shellcode
自加载的shellcode,包括向explorer.exe注入的shellcode,我都找到了,但是还是不能够理清样本整个的行为,就是想看看大神把整个样本的行为理清一下,我学习一下
|
能力值:
( LV2,RANK:12 )
|
-
-
5 楼
秋落
你把xlsb的文档发出来看看
文档就是非常简单的宏,下载了这个OCX文件,没有其他的信息
|
能力值:
( LV2,RANK:12 )
|
-
-
6 楼
我个人的分析,就是这个OCX文件是一个PE装载器,然后会向explorer.exe注入shellcode,自加载的shellcode,注入的shellcode,我都找到了,但是都没有分析的明白,注入的shellcode形式,我也是第一次见到,确实很多地方都看不明白,就是希望大神能够把整个样本的行为理清一下,学习一下
|
能力值:
( LV9,RANK:335 )
|
-
-
7 楼
b1ackie
我个人的分析,就是这个OCX文件是一个PE装载器,然后会向explorer.exe注入shellcode,自加载的shellcode,注入的shellcode,我都找到了,但是都没有分析的明白,注入的 ...
你以为你分析到了shellcode,其实你还没有开始分析。
|
能力值:
( LV2,RANK:12 )
|
-
-
8 楼
PlaneJun
你以为你分析到了shellcode,其实你还没有开始分析。
是的,我只是看出了一点皮毛,很多地方我都没看懂,所以发出来,想学习一下
|
能力值:
( LV8,RANK:120 )
|
-
-
9 楼
PlaneJun
你以为你分析到了shellcode,其实你还没有开始分析。
大佬,公布一下过程。
|
能力值:
( LV4,RANK:40 )
|
-
-
10 楼
我也在分析一个类似的,我分析那个是一个doc文件,之后利用了flash的一个漏洞,我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做,我将这doc文件拖入od时od就会提示这不是一个PE文件,谢谢大佬
|
能力值:
( LV8,RANK:120 )
|
-
-
11 楼
g0mx
我也在分析一个类似的,我分析那个是一个doc文件,之后利用了flash的一个漏洞,我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做,我将这doc文件拖入od时od就会提示这不是一个PE ... 用oledump试试
最后于 2022-1-17 13:51
被badboyl编辑
,原因:
|
能力值:
( LV8,RANK:120 )
|
-
-
12 楼
b1ackie
自加载的shellcode,包括向explorer.exe注入的shellcode,我都找到了,但是还是不能够理清样本整个的行为,就是想看看大神把整个样本的行为理清一下,我学习一下
我大概也就分析到了一个释放的dll,大概是用ZwUnmapViewOfSection卸载并替换内存镜像。
|
能力值:
( LV2,RANK:12 )
|
-
-
13 楼
g0mx
我也在分析一个类似的,我分析那个是一个doc文件,之后利用了flash的一个漏洞,我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做,我将这doc文件拖入od时od就会提示这不是一个PE ...
OD只可以动调PE文件,拖DOC进去,肯定是不行的
|
能力值:
( LV4,RANK:40 )
|
-
-
14 楼
目前分析的这个样本,并不是一个宏病毒,这个样本利用了一个flash的漏洞,之后从远程下载木马,我大体理解是这个流程,但是现在无法动态调试,我只能依靠静态分析找的漏洞的利用函数,但是具体这个样本是怎么做的我无法理解也无法分析。
|
能力值:
( LV8,RANK:120 )
|
-
-
15 楼
g0mx
目前分析的这个样本,并不是一个宏病毒,这个样本利用了一个flash的漏洞,之后从远程下载木马,我大体理解是这个流程,但是现在无法动态调试,我只能依靠静态分析找的漏洞的利用函数,但是具体这个样本是怎么做 ...
哪儿看到了利用flash漏洞?你跟我分析的不是一个样本?
|
|
|