宏病毒学习笔记
练习过一些宏病毒,总结一些最基本的方法
一.查看
提示启用内容,选择启用
Alt+F11即可查看宏代码
二.加密
部分宏加了密码
可以用如下工具**三.快速查找关键语句
大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来
选择左侧点击即可下断
然后运行
本地窗口查看,调试
添加监视即可看到关键部分,大多数时候是释放一个可执行文件
四.动态监视
对于部分宏病毒可以直接通过动态监视的方法获得关键信息所用工具
Ctrl+T可以查看进程树
我们的思路是先打开监控工具,然后运行病毒样本,然后查看进程树比如它调用了powershell
我们可以在命令行中看到相应执行的参数然后把它复制出来用notepad++处理一下即可
大多数时候多是base64编码的,可以用notepad++自带的插件解密
四.静态处理
Oledump -s a -v xxx.doc >aa.txt
然后就可以在txt文件中看到宏代码