恶意文档类分析

分析步骤

1 主要判断目标文件的类型，如网页、office文档、pdf类。

2 找出不正常之处，例如两个相同内容的文档，通过文本打开比较等，或者功能型的不正常，文档加密、诱惑用户点击，或者宏运行等， 也可以在虚拟机或者沙箱中运行。

3 找出恶意程序的代码。

按照恶意程序类型，运行系统类型，恶意程序家族名称，变种号。

Trojan.win32.setiri

木马，Windows32位 ，setiri家族。

1 hta程序

程序一：

通过文件头确认为hta程序，windowstate=“minimize”最小化，以及加密方式。

虚拟机运行：

程序二：

确认为hta文件

虚拟机运行：

生成文件为乱码：

确认为恶意文件。

2 html文件

2.1隐藏文件

Iframe 访问url，通过修改窗口大小，visibility，或者hide隐藏

a. div的visibility控制div的隐藏和显示

style="visibility: none;"

document.getElementById("typediv1").style.visibility="hidden";//隐藏

b .设置display属性 可以是div隐藏后释放占用的页面空间

<p hidden="hidden">这是一段隐藏的段落。</p>

<p>这是一段可见的段落。</p>

2.2诱导用户输入账号密码

通过图片就觉得奇怪，可以通过链接或者抓包分析，注册一个excel账号登录，会发现一直登录不成功就说明这个html文件有问题。

3 pdf文件

文件一：

发现一个链接，感觉是钓鱼，通过代码查看无法确认是否为恶意类型，把文件放到虚拟机。

虚拟机运行执行一个IP地址，诱导用户点击链接，我们去微步上查找ip是否被标记，

确认为pdf文件

使用漏洞攻击的文件。

文件二：

确认为pdf文件。

鼠标移动到图片会出现一个网址，一点击就会移动，可以对这个地址进行拉黑。

4 word文件

Word文件一般采用宏病毒运行。

虚拟机运行：

诱导用户启用宏。

手工清除宏病毒的方法

1．打开宏菜单，在通用模板中删除您认为是病毒的宏。

2．打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏。

3．保存清洁文档。

参考：

https://blog.csdn.net/ghost165/article/details/78369935?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-0.highlightwordscore&spm=1001.2101.3001.4242.1

https://blog.csdn.net/Wu000999/article/details/89326322

PE恶意程序常见类型：exe，dll，sys程序。

Dll程序

.dll，动态链接库英文为DLL，是Dynamic Link Library的缩写。DLL是一个包含可由多个程序，同时使用的代码和数据的库。

方法：

通过找到与正常程序的不同处确认为恶意程序。

程序一：

16进制模式下1000开头或者0001结尾，基本确定为dll文件

F8查看头部信息

F9可查看导出函数。

发现酷狗函数。

对eax寄存器进行异或，然后return，没去执行什么功能。

归类为dll劫持。

程序二：

0000001 80000000确认为64位程序

F8查看导出表

F9查看导出表

发现没有进行任何操作，dll不可能没有作用，判定为恶意dll。

程序三：

发现ksafetray.exe,为金山杀软，正常程序不会出现杀毒软件进程，我们进入到call语句位置，按数字2。

发现有遍历位置：

程序四：

发现base64确认为恶意文件，标记为恶意文件。

程序五：

地址相同，觉得可疑，标记为恶意。

程序六：

查看downloadfile导出表

确定为恶意程序。

程序七：

导出表名字有古怪，确认为恶意文件。

Exe程序

Exe如果没有反虚拟机的话，实现快速判断的话，直接采用虚拟机直接执行。

程序一：

找不到特征，

有点像更新，或者下载类型图标。

虚拟机运行截图：

即可判断勒索程序。

程序二：

F8 然后F5找到程序入口点，回车转到反汇编模式。

寻找main函数

按数字1

主要分析call

看到单个字符串

再看下一个call

Mov赋值

退格返回上一个界面。

Xor解密。

正常程序不会进行本身解密，确认为恶意文件。

程序三：

程序入口。

反汇编模式。

Call语句分析

Virtulalloc分配空间

第二个空间

采用一堆运算符，即可确认有问题程序