例項講解如何繞過 Office 文件的反分析技術

本文講的是例項講解如何繞過 office 文件的反分析技術，

今天我們來試著分析乙個使用word文件的惡意vba專案。該文件的作者對檔案中的vba專案進行了密碼保護，以防止對惡意**的檢查，同時也使用了一些防止密碼刪除的技術。因此自動分析工具就基本不起作用了，但我們還是展示了如何跨越所有這些反分析障礙的技術，下面我們開始。

我們首先開啟文件，然後就會接到乙個釣魚訊息，聲稱該文件是使用早期版本的microsoft office建立的，想要檢視內容的話我們必須啟用巨集。

當我們啟用巨集時，文件開始指向cfai66.fr

要了是解什麼使文件傳送到乙個法國網域名稱，我們必須在「開發人員」選項卡中檢查文件的巨集。但是，作者用密碼保護著vba專案，來防止我們檢查。這就限制了我們從microsoft office內部準確分析vba指令碼的能力。

要繼續分析，我們可以嘗試使用office檔案的一些常見的十六進製制編輯技術手動刪除密碼。首先，我們在文件中搜尋字串「dpb」並將其更改為「dpx」。office的某些版本會將其解釋為損壞的密碼雜湊。但是，這對我們的文件不起作用，我們仍然收到密碼提示。

接下來，我們嘗試用我們建立的受密碼保護的vba啟用文件替換我們文件的「cmg」，「dpb」和「gc」值。遺憾的是，我們的檔案的作者有意地搞砸了「cmg」的價值，以摒棄這個領域的長度。我們嘗試將我們的新cmg複製到惡意文件也失敗了。此外，我們還嘗試了在cmg的引號內外填充資料以保留檔案的長度，但也失敗了。左邊的是新檔案，右邊的是惡意檔案。

由於我們的密碼刪除嘗試都失敗了，我們只能繼續使用受歡迎的office產品分析工具officemalscanner檢查我們的文件。使用scan / brute選項執行該工具並沒有產生任何結果：

使用info 選項重新執行該工具可以顯示3個vba物件：

要動態分析這些vba物件，我們可以使用乙個名為vipermonkey的新工具。vipermonkey是用python編寫的vba**引擎，旨在分析和解組microsoft office檔案（word，excel，powerpoint，publisher等）中包含的惡意vba巨集。

然而，vipermonkey無法完全分析vba，因為

1.）不會識別vba函式ubound

2.）無法評估「i = userform1.t.top」的變數賦值，因為它無法定位userform1.t.top的值。

看來我們必須手動逆向module1 的vba指令碼。首先，我們將指令碼載入到新的word文件中，以便我們可以使用內建的vba偵錯程式進行除錯。除錯指令碼後，我們很快就發現了導致vipermonkey失敗的**。

此**無法執行，因為form1無法使用officemalscanner工具轉儲，除非form1的元資料被轉儲，並且form1.t.top的值無法找到。這是乙個阻止自動vba分析的好方法，因為不能獲取密碼保護形式的變數（我所知道的）。我們將不得不手動跟蹤**並逆向使用此變數的函式來嘗試確定什麼它的價值應該是。

跟蹤i = form1.t.top的變數賦值最終將i分配給變數t，之後將我們帶到第56行。

第62行指出，如果wet = 0，則rd將是變數rd的字元表示。

如果我們以相反的邏輯順序取這些語句，我們得到以下內容：

如果rd作為char，wet必須等於0：

wet= 0
wet= 1  -  fr（1）= 0
fr = t（12）-11 = 1
t（12）= i（12）= userform1.t.top（12）
userform1.t.top == 12

如果我們用12的值替換userform1.t.top並除錯指令碼，我們慢慢地就會看到可讀的文字填充變數onearm。這時，我們已經成功地逆向了vba的邏輯，並在變數中顯示了以下批處理檔案：

刪除檔案

i.bat npzdi.exe

網路通訊

檢測

結論

這是乙個有趣的使用word文件來進行的vba專案，並且採用了密碼保護來阻礙分析。經過幾次密碼刪除嘗試，使用officemalscanner和vipermonkey自動進行工具分析，我們最終手動逆向了vba函式從而發現了在除錯過程中導致指令碼失敗的缺失值。

原文發布時間為：2023年8月20日

例項講解如何繞過 Office 文件的反分析技術

給開發處理office文件的經驗

Makefile的例項講解

OFFICE 2003 開啟RMS保護的文件出錯

例項講解如何繞過 Office 文件的反分析技術

給開發處理office文件的經驗

Makefile的例項講解

OFFICE 2003 開啟RMS保護的文件出錯

相關推薦