Malware Analysis (14) 썸네일형 리스트형 WMI 개념 잘 정리했다. https://dazemonkey.tistory.com/98 WMI 개념 (Windows Management Instrumentation) WMI 윈도우 운영체제에 기본적으로 지원하는 파워쉘(PowerShell)은 WMI, COM, .NET Framework 등 다양한 표준을 지원한다. 다양한 표준 중 WMI(Windows Management Instrumentation)는 윈도우의 리소스에 접근하여.. dazemonkey.tistory.com ms office document, oleobject, rels, external dissectmalware.wordpress.com/tag/docx/ docx – Malware Analysis This is the second article about the analysis of malicious documents observed in March 2018. You can read the first part here: A close look at malicious documents (Part I ) Tools: rtfobj tool – part of python-oletools package – “rtfobj is a Python mo dissectmalware.wordpress.com MS Office 문서 안의 rels 파일에서 RelationShip 태그의 TargetMode 속.. CVE-2017-0199 및 다른 유형의 문서형 악성코드 분석 매크로 악성코드인데, 간접적으로 매크로를 넣은 악성코드가 존재하는 것 같다. 분석 도구의 정보에 의하면 CVE-2017-0199로도 의심한다는데, 더 분석해봐야할 것 같다. poc를 만들어보는 것도 좋겠다. Inject Macros from a Remote Dotm Template www.ired.team AltChunk 클래스를 이용한 OOXML 문서 안에 OOXML 문서 삽입 두 문서를 하나로 통합할 때 사용할 수 있는 코드가 해당 링크에 나와있다. AltChunk Class (DocumentFormat.OpenXml.Wordprocessing) Defines the AltChunk Class. When the object is serialized out as xml, its qualified name is w:altChunk. docs.microsoft.com 해당 코드는 docx file 안에 docx file을 넣지만 조금만 변형하면 rtf 파일을 넣는 코드로도 변경할 수 있다. using System.Linq; using System.IO; using DocumentFormat.OpenXml.Packaging; using DocumentFormat.OpenXml.Wor.. Microsoft Jscript 연구 필요. 분석하고 있는 악성코드에서 Jscript를 이용했다. JScript - Wikipedia From Wikipedia, the free encyclopedia Jump to navigation Jump to search An implementation of ECMAScript by Microsoft JScript is Microsoft's dialect of the ECMAScript standard[2] that is used in Microsoft's Internet Explorer. JScript is implemented as an Ac en.wikipedia.org Jscript의 문법에 대해서 자세히 분석하고 난독화된 스크립트를 역난독화하는 방법을 고민해봐야할 것 같다. JScript Tutor.. Word 2013 VBA 프로젝트 비밀번호 인증 우회 보호되어 있는 글입니다. VBA 사용자 정의 폼을 이용한 데이터 은닉 문서형 악성코드를 분석할 때, 정적 분석 과정에서 olevba.py, OfficeMalScanner, ... 등을 사용하여 소스코드를 추출하고 추출한 소스코드를 분석하여 악성코드가 어떤 행위를 하는지 파악할 때가 있다. 해당 기법은 VBA 프로젝트에서 사용자 정의 폼을 삽입한 후, 컨트롤을 추가하고 Text, Value 속성에 난독화된 문자열을 저장하고 모듈에서 난독화된 문자열을 역난독화하여 사용하는 형태로 사용될 수 있다. 이 때 중요한 점은, 소스코드를 추출했을 때 폼에서 데이터를 불러오는 형태로 사용되기 때문에, 데이터를 어떤 폼에 어떤 컨트롤에서 가져오는지는 알 수 있어도, 정적분석 과정만으로는 실제 어떤 데이터를 불러오는지 알기 힘들다는 것이다. 샘플 두 개를 만들어서 간단히 실습을 해보자. N.. 블로그1 자료가 잘 정리되어 있다. SanseoLab Malware Analyst sanseolab.tistory.com Powershell 실행 정책 확인 및 변경 Get-ExecutionPolicy 현재 세션에 대한 실행 정책을 얻는 명령이다. Get-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell To display the execution policies for each scope in the order of precedence, use Get-ExecutionPolicy -List. To see the effective execution policy for your PowerShell session use Get-ExecutionPolicy with no parameters. The effective execution policy is dete docs.microsoft.com 처음에는 기본값으로 .. pcode2code 설치 및 간단한 실습 pcode2code 설치 pcode2code 레포지토리를 clone하고 setup.py를 실행하여 설치하는 방법이 있다. pip를 이용하여 해당 모듈을 설치하는 방법이 존재한다. github.com/Big5-sec/pcode2code Big5-sec/pcode2code a vba pcode decompiler based on pcodedmp. Contribute to Big5-sec/pcode2code development by creating an account on GitHub. github.com 나는 첫 번째 방법을 이용해서 설치했다. setup.py를 이용해서 설치를 진행하려고 했지만 코드에 ','가 빠져서 에러가 일어났다. 코드를 수정하여 에러를 제거하고 설치를 진행하면 pcode2code 설.. 이전 1 2 다음
