it-swarm.com.de

Wie erkennt man, ob dieser Code gefährlich ist?

Ich habe gerade einen verschleierten Code erhalten und möchte ihn verschleiern. Könnte jemand erklären, welche Verschlüsselungsmethode verwendet wird?
Und wie ich es umkehren könnte.
Der Code lautet:

On error resume next
Data="}èŝŸȠɩʽ̟ͪρФШҘӔղ׏ܦݷބߢࡳ࢏ࣜ"
Container1=""
id="4d9fdb14-d482-4fc5-a910-9af261a17650"
random1=0
random2=0
do until random1=len(Data)
random1=random1+1
random2=random2+1
if random2=len(id) then random2=1
Container1=Container1 & ChrW(AscW(Mid(Data, random1, 1)) - random2 * 86)
loop
if len(Container1) > 282 then
execute Container1
end if

Der vollständige Code in Pastebin: https://Pastebin.com/WJTgKmP1

7
Sergio Ramos

Drucken statt ausführen

In diesem Fall haben Sie den Deobfuscationscode direkt vor sich. Es mag interessant sein zu verstehen, wie es funktioniert, aber das ist nicht notwendig - es ist offensichtlich, dass der Prozessablauf darin besteht, dass einige Nutzdaten in die Variable Container1 Deobfusciert werden, die dann ausgeführt wird.

Was Sie tun können, ist, execute Container1 Durch etwas wie (vorausgesetzt, dies ist VBA) MsgBox Container1 Zu ersetzen und einfach den Code auszuführen. Natürlich ist es sicherer, potenziell schädlichen Code in einer virtuellen Sandbox-Maschine und nicht auf einem Computer auszuführen, der Ihnen wichtig ist, selbst wenn Sie glauben, dass Sie wissen, was er tut und was nicht - da jeder bei der Bewertung einen Fehler machen kann Das.

Es ist durchaus plausibel, dass dies nur eine „zweite Stufe“ aufzeigt, die noch weiter analysiert und deobfusziert werden muss, aber das ist eine andere Lernübung.

31
Peteris

Eine allgemeinere Antwort auf Ihre Frage (zusätzlich zu Antwort , um exec durch print von PeteriS zu ersetzen, was für eine schnelle Analyse sehr praktisch ist).

Zu den gefährlichen Teilen des Codes gehören Methoden oder Aufrufe, die Nebenwirkungen auf das System haben. Dies umfasst insbesondere Systemaufrufe zum Ausführen von Befehlen, IPC, Öffnen von Dateien oder zur Netzwerkkommunikation. Obwohl nicht jeder Code, der das tut, gefährlich ist, sollte er zumindest verdächtig sein.

Aber denken Sie daran, nur weil Sie diese Art von Code nicht sehen können, fehlt er möglicherweise nicht. Allgemeiner kann eine Form der Speichermanipulation und das anschließende Springen oder Einrichten von Handlern an andere Orte dasselbe bewirken.

In Ihrem Beispielcode ist execute jedoch der einzige Teil, der als gefährlich heraussticht (und die Tatsache, dass der VBA nicht von gesunden Menschen verwendet wird).

4
eckes