Q. 워드문서의 Public Function은 시스템에서 결국 실행되는 전체 명령의 문자열을 반환합니다. Function의 이름이 무엇입니까?
이거 진짜 일단 맘에 안드는 문제인데,, 봐보자
일단 officemalscanner가 있으면, 문서파일에서 코드를 뽑아낼 수 있고 어떤게 악성인지 파악 가능함.
파일을 받고 이 도구를 써보면
oms.exe 파일명 inflate
하면 안에 디렉터리 추출하고 악성파일을 보여줌.
- 파일의 시그니처를 보면 zip파일 시그니처임
zip으로 바꿔서 열어주면 아까 도구를 써서 봤떤 악성 파일을 열어 볼 수있고.
또 oms.exe bin파일 info 하면 vba코드 추출도 가능함.
열어보면 난독화된 함수들이 잔뜩 있음.
뒤에 서술하겠지만 방법이 없어서 함수 다 일일이 대입해봤음
답 있음 그중에.
근데 교재에서는 maldocs를 써보라고 했는데, 이사이트 망했음;;
- 설명이 매우 불친절함 이 부분. 난독화된 문자열을 모아서 정리하고 netfiddle에 올려보라는데, 뭘 모으라는건지, 어떤걸 올려서 넣으라는건지 구체적인 지칭이 없이 그냥 해보라고 하고 결과만 딱 서술하는데,...
Forensic/Security/IT