[ شرح ] تحليل ملف doc وورد و استخراج الكود الخبيث

تم تحميل الصفحة في 0,5811359 ثانية
تحليل ملف doc وورد و استخراج الكود الخبيث

wolf-sy

مُشرف قسم الهندسة العكسية
rankrank
إنضم
28 يوليو 2014
المشاركات
411
الإعجابات
578
النقاط
133
الإقامة
syria
السلام عليكم و رحمة الله

سأشرح بهذا لفيديو تحليل ملف وورد و استخراج كود ال vba منه باستخدام olevba
طبعا بالبداية ستحتاج تنزيل oletools
التنزيل مشروح من قبل المبرمجين

Install · decalage2/oletools Wiki · GitHub

أنا بفضل تستعملوا نسخة بايثون Python 2.7
مع الأدوات


و الأن أترككم مع الفيديو
أي سؤال أنا موجود


 

mohammedalaa

.:: مُشرف اقسام حماية الاجهزة والتقنية ::.
rankrankrankrankrankrank
إنضم
18 نوفمبر 2014
المشاركات
3,395
الإعجابات
2,871
النقاط
146
الإقامة
العراق من بغداد
انا فقط شفت تطبيق
لكن غالب الخطوات لم افهم كيف توصلت لها
او استنتجتها وعلى اساسها بلشت تحلل
ياريت شرح بسيط كخطوات سريعه
لان الفديو لم افهمه بشكل جيد كل خطوات
 

wolf-sy

مُشرف قسم الهندسة العكسية
rankrank
إنضم
28 يوليو 2014
المشاركات
411
الإعجابات
578
النقاط
133
الإقامة
syria
انا فقط شفت تطبيق
لكن غالب الخطوات لم افهم كيف توصلت لها
او استنتجتها وعلى اساسها بلشت تحلل
ياريت شرح بسيط كخطوات سريعه
لان الفديو لم افهمه بشكل جيد كل خطوات
صديقي
هو أنا لذلك كتبت أنا متواجد اذا في أي سؤال
كملخص
استخرجت اكواد الماكرو من ملف الوورد بأداة olevba
و الكود يالي تم استخراجه
خاول ترجع تشوف الفيديو انا واضع ملاحظة
طريقة التشفير المستخدمة عبارة عن تمويه بنتغيرات كثيرة بلا معنى
لكن أهم شي كان و الذي دلني عالكود هو vba shell
و هي تستخدم لتشغيل الكود
يالي هو
ActiveDocument.BuiltInDocumentProperties("Comments")

هاد بيعني انو شغل ما يحتويه بقسم الكومنت من خصائص المستند نفسه
لما شفت الكومن بخصائص المستند
نسخت الموجود فيه
عبارة عن كود باورشيل مشفر ببيس 64
فكيت البيس 64 بالبايثون(انت بتقدر تفكو باي اداة او حتى اونلاين)
طلع كود غير مفهوم لأن كان أيضا يوحد العديد من \x00 يالي هو قيمة null
عملت استبدال لكل ال \x00 الموجودة بلا شيء ليتوضح الكود
ظهر كود باور شيل مشفر
أول شي
كود:
$VerbosePreference.tostring()[1,3]
يعني الحرف التاني و الرابع من هذا المتغير الذي يعني
SilentlyContinue
اذا اخذنا التاني و التالت بيطلع عندنا
i e + x + الباقي
i e x هنا Invoke-Expression
مسؤولة عن تشغيل كود الباور شيل
بالنسبة لهذا الباقي
اذا اتجهنا لنهاية الكود بتلاحظ
split
عاساس عدد من المحارف
و بعدها يتم التحويل من قيم رقمية الى حروف
chars
أنا استبدلت كل حرف المفترض عمل التقسيم عاساسها بفراغ
لأصل الى القيم الرقمية
ثم بعدها
قمت بتحويلها الى حروف
بالبايثون
عن طريق ادخالها ك ليست
نفس المصفوفة بغير لغات برمجة
و قمت بتحويل كل قيمة بالليست الى محرفها المقابل
chr()
و خزنت الناتج بمتغير سترينغ نصية يالي كان بالفيديو
d
و بعدها عرضت ما نتج لدي بالمتغير
d
و وصلنا عندها للناتج النهائي
يالي هو

عبارة عن داونلودر بحاول يحمل ملف من عدة روابط و بقوم بتخزين الملف المحمل بالتمب و تشغيله

اذا في شي ما توضحلك من كلامي
أخبرني
 

mohammedalaa

.:: مُشرف اقسام حماية الاجهزة والتقنية ::.
rankrankrankrankrankrank
إنضم
18 نوفمبر 2014
المشاركات
3,395
الإعجابات
2,871
النقاط
146
الإقامة
العراق من بغداد
صديقي
هو أنا لذلك كتبت أنا متواجد اذا في أي سؤال
كملخص
استخرجت اكواد الماكرو من ملف الوورد بأداة olevba
و الكود يالي تم استخراجه
خاول ترجع تشوف الفيديو انا واضع ملاحظة
طريقة التشفير المستخدمة عبارة عن تمويه بنتغيرات كثيرة بلا معنى
لكن أهم شي كان و الذي دلني عالكود هو vba shell
و هي تستخدم لتشغيل الكود
سلمت يداك عل الشرح
هذا كان الجزء المفقود عدي ولم افهمه البداية :15:
اما فك تشفيرها واستبدال القيم كانت واضحه او فهمتها
لكن هذا النص اول خطوات لم افهمها من اول
سلمت يداك عل الشرح
بانتظار جديدك يامبدع :]d (4):
 

B0u3Zizi

.:: مُراقب أقسام حماية الأجهزة ::.
rankrankrankrankrankrank
طاقم الإدارة
إنضم
21 سبتمبر 2013
المشاركات
3,048
الإعجابات
3,275
النقاط
130
الإقامة
تونس
و عليكم السلام و رحمة الله و بركاته
وفقت في الشرح أخي علي
كلمة شكر قليلة في حقك
أتمنى لك التوفيق و أشكرك على ما تقدمه
 

wolf-sy

مُشرف قسم الهندسة العكسية
rankrank
إنضم
28 يوليو 2014
المشاركات
411
الإعجابات
578
النقاط
133
الإقامة
syria
سلمت يداك عل الشرح
هذا كان الجزء المفقود عدي ولم افهمه البداية :15:
اما فك تشفيرها واستبدال القيم كانت واضحه او فهمتها
لكن هذا النص اول خطوات لم افهمها من اول
سلمت يداك عل الشرح
بانتظار جديدك يامبدع :]d (4):
مية أهلا و سهلا صديقي
:dv (2):

و عليكم السلام و رحمة الله و بركاته
وفقت في الشرح أخي علي
كلمة شكر قليلة في حقك
أتمنى لك التوفيق و أشكرك على ما تقدمه
تسلم يا غالي
الشكر لك لتشجيعك لي لتقديمي المزيد
:9::9:
 

CaThAcK

Active DeveloPer
rankrank
إنضم
29 أغسطس 2010
المشاركات
453
الإعجابات
358
النقاط
63
شرح مفهوم استمر اخي العزيز
كنت من قبل سنوات افكها بطريقه كانت ابسط من هذه
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 1 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل