恶意软件作者通常喜欢在 Office 文档中使用宏技术来替换系统中正常可执文件中的代码,这种技术称之为 Process hollowing。这篇文章的主要目的是识别这种技术并了解其使用方法,我还在 YouTube 上发布了一段 视频,这段视频介绍了如何使用 Ghidra 进行 shellcode 分析...
在最近几年,勒索软件对组织机构来说成了一种非常大的威胁,并给其造成了巨大的损失,估计达数十亿美元。为了提高勒索成功率,勒索软件执行的常见操作是擦除卷备份(即卷影副本),从而阻止受害者恢复已加密的任何文件。...
今日在野外获得一个特别有意思的 office 样本(Excel 文档),这个样本运用了 Excel 4.0 marco 技术,并且还隐藏了。由于自己对 Excel 4.0 marco 技术不是太深入了解,所以打算趁此在周末好好学习下 Excel 4.0 marco。在开始之前,我们先聊下 Excel 4.0 marco。...