[求助]求助帮忙分析一下这个样本-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]求助帮忙分析一下这个样本

发表于: 2022-1-11 16:02 9908

[求助]求助帮忙分析一下这个样本

b1ackie

活跃值

2022-1-11 16:02

9908

之前遇见的xlsb文档释放的病毒，自己实力不行，没能分析明白，求助大神帮忙分析下，我想学习一下。
解压密码：password

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2022-1-11 16:03 被b1ackie编辑，原因：

#病毒木马 #问题讨论

上传的附件：

样本.7z （283.60kb，29次下载）

收藏・2

免费・0

支持

分享

最新回复 (15)
秋落雪币： 312 活跃值： (613) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	秋落 2 楼你把xlsb的文档发出来看看 2022-1-11 18:02 0
秋落雪币： 312 活跃值： (613) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	秋落 3 楼基地址:0x400000 00453FBC这个位置加载资源解密shellcode 2022-1-12 11:23 0
b1ackie 雪币： 20 活跃值： (303) 能力值： ( LV2，RANK：12 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	b1ackie 4 楼秋落基地址:0x400000 00453FBC这个位置加载资源解密shellcode 自加载的shellcode，包括向explorer.exe注入的shellcode，我都找到了，但是还是不能够理清样本整个的行为，就是想看看大神把整个样本的行为理清一下，我学习一下 2022-1-12 11:42 0
b1ackie 雪币： 20 活跃值： (303) 能力值： ( LV2，RANK：12 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	b1ackie 5 楼秋落你把xlsb的文档发出来看看文档就是非常简单的宏，下载了这个OCX文件，没有其他的信息 2022-1-12 11:43 0
b1ackie 雪币： 20 活跃值： (303) 能力值： ( LV2，RANK：12 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	b1ackie 6 楼我个人的分析，就是这个OCX文件是一个PE装载器，然后会向explorer.exe注入shellcode，自加载的shellcode，注入的shellcode，我都找到了，但是都没有分析的明白，注入的shellcode形式，我也是第一次见到，确实很多地方都看不明白，就是希望大神能够把整个样本的行为理清一下，学习一下 2022-1-12 11:49 0
PlaneJun 雪币： 122 活跃值： (7471) 能力值： ( LV9，RANK：335 ) 在线值：发帖 23 回帖 106 粉丝 214 关注私信	PlaneJun 6 7 楼 b1ackie 我个人的分析，就是这个OCX文件是一个PE装载器，然后会向explorer.exe注入shellcode，自加载的shellcode，注入的shellcode，我都找到了，但是都没有分析的明白，注入的 ... 你以为你分析到了shellcode，其实你还没有开始分析。 2022-1-12 18:35 0
b1ackie 雪币： 20 活跃值： (303) 能力值： ( LV2，RANK：12 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	b1ackie 8 楼 PlaneJun 你以为你分析到了shellcode，其实你还没有开始分析。是的，我只是看出了一点皮毛，很多地方我都没看懂，所以发出来，想学习一下 2022-1-12 20:33 0
badboyl 雪币： 4105 活跃值： (5807) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 191 粉丝 31 关注私信	badboyl 2 9 楼 PlaneJun 你以为你分析到了shellcode，其实你还没有开始分析。大佬，公布一下过程。 2022-1-14 14:52 0
g0mx 雪币： 2016 活跃值： (3521) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 22 粉丝 12 关注私信	g0mx 10 楼我也在分析一个类似的，我分析那个是一个doc文件，之后利用了flash的一个漏洞，我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做，我将这doc文件拖入od时od就会提示这不是一个PE文件，谢谢大佬 2022-1-17 09:22 0
badboyl 雪币： 4105 活跃值： (5807) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 191 粉丝 31 关注私信	badboyl 2 11 楼 g0mx 我也在分析一个类似的，我分析那个是一个doc文件，之后利用了flash的一个漏洞，我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做，我将这doc文件拖入od时od就会提示这不是一个PE ... 用oledump试试最后于 2022-1-17 13:51 被badboyl编辑，原因： 2022-1-17 13:51 0
badboyl 雪币： 4105 活跃值： (5807) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 191 粉丝 31 关注私信	badboyl 2 12 楼 b1ackie 自加载的shellcode，包括向explorer.exe注入的shellcode，我都找到了，但是还是不能够理清样本整个的行为，就是想看看大神把整个样本的行为理清一下，我学习一下我大概也就分析到了一个释放的dll，大概是用ZwUnmapViewOfSection卸载并替换内存镜像。 2022-1-17 17:43 0
b1ackie 雪币： 20 活跃值： (303) 能力值： ( LV2，RANK：12 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	b1ackie 13 楼 g0mx 我也在分析一个类似的，我分析那个是一个doc文件，之后利用了flash的一个漏洞，我现在想像用od调试exe文件一样调试这个doc文件我应该怎么做，我将这doc文件拖入od时od就会提示这不是一个PE ... OD只可以动调PE文件，拖DOC进去，肯定是不行的 2022-1-17 17:56 0
g0mx 雪币： 2016 活跃值： (3521) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 22 粉丝 12 关注私信	g0mx 14 楼目前分析的这个样本，并不是一个宏病毒，这个样本利用了一个flash的漏洞，之后从远程下载木马，我大体理解是这个流程，但是现在无法动态调试，我只能依靠静态分析找的漏洞的利用函数，但是具体这个样本是怎么做的我无法理解也无法分析。 2022-1-18 09:45 0
badboyl 雪币： 4105 活跃值： (5807) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 191 粉丝 31 关注私信	badboyl 2 15 楼 g0mx 目前分析的这个样本，并不是一个宏病毒，这个样本利用了一个flash的漏洞，之后从远程下载木马，我大体理解是这个流程，但是现在无法动态调试，我只能依靠静态分析找的漏洞的利用函数，但是具体这个样本是怎么做 ... 哪儿看到了利用flash漏洞？你跟我分析的不是一个样本？ 2022-4-11 10:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

b1ackie

发帖

回帖

RANK

他的文章

[求助]求助帮忙分析一下这个样本 9909

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//