论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
逆向
[21863] 2021-04-12_对伪装docx文件病毒的逆向分析
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
逆向
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前在线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2021-04-12_对伪装docx文件病毒的逆向分析
对
伪
装
d
o
c
x
文
件
病
毒
的
逆
向
分
析
L
e
m
o
n
S
e
c
2
0
2
1
-
0
4
-
1
2
以
下
文
章
来
源
于
小
道
安
全
,
作
者
小
道
安
全
1
.
病
毒
文
件
的
基
本
信
息
分
析
病
毒
文
件
的
基
本
信
息
分
析
1
.
1
病
毒
文
件
具
体
展
示
病
毒
文
件
具
体
展
示
病
毒
文
件
用
的
资
源
图
标
是
资
源
图
标
是
w
p
s
的
图
标
的
图
标
,
以
此
让
大
家
误
认
为
是
d
o
c
x
文
件
,
最
终
是
为
了
诱
导
大
家
点
击
打
开
病
毒
文
件
。
1
.
2
病
毒
信
息
具
体
提
示
病
毒
信
息
具
体
提
示
打
开
解
压
病
毒
文
件
以
及
打
开
病
毒
文
件
就
会
被
杀
毒
软
件
提
示
是
恶
意
软
件
,
它
属
于
t
r
o
j
a
n
.
g
e
n
e
r
i
c
病
毒
病
毒
。
小
道
安
全
小
道
安
全
.
以
安
全
开
发
、
逆
向
破
解
、
黑
客
技
术
、
病
毒
技
术
、
灰
黑
产
攻
防
为
基
础
,
兼
论
程
序
研
发
相
关
的
技
术
点
滴
分
享
。
1
.
3
t
r
o
j
a
n
.
g
e
n
e
r
i
c
病
毒
的
定
义
信
息
病
毒
的
定
义
信
息
t
r
o
j
a
n
.
g
e
n
e
r
i
c
它
是
计
算
机
木
马
名
称
,
启
动
后
会
从
体
内
资
源
部
分
释
放
出
病
毒
文
件
启
动
后
会
从
体
内
资
源
部
分
释
放
出
病
毒
文
件
,
有
些
在
W
I
N
D
O
W
S
下
的
木
马
程
序
会
绑
定
一
个
文
件
,
将
病
毒
程
序
和
正
常
的
应
用
程
序
捆
绑
成
一
个
程
序
,
释
放
出
病
毒
程
序
和
正
常
的
程
序
,
用
正
常
的
程
序
来
掩
盖
病
毒
。
病
毒
在
电
脑
的
后
台
运
行
,
并
发
送
给
病
毒
制
造
者
。
这
些
病
毒
除
有
正
常
的
危
害
外
,
还
会
造
成
主
流
杀
毒
软
件
和
个
人
防
火
墙
无
法
打
开
,
甚
至
导
致
杀
毒
时
系
统
出
现
“
蓝
屏
”
、
自
动
重
启
、
死
机
等
状
况
。
1
.
4
分
析
病
毒
的
加
壳
情
况
分
析
病
毒
的
加
壳
情
况
通
过
E
x
e
i
n
f
o
P
E
工
具
工
具
可
以
分
析
出
该
病
毒
样
本
是
没
有
加
壳
的
样
本
,
并
且
是
6
4
位
程
序
。
通
过
区
段
表
信
息
可
以
看
到
它
是
个
常
规
的
P
E
文
件
文
件
。
1
.
5
分
析
病
毒
所
依
赖
的
模
块
信
息
分
析
病
毒
所
依
赖
的
模
块
信
息
通
过
C
F
F
E
x
p
l
o
r
e
r
工
具
工
具
可
以
查
看
该
病
毒
样
本
主
要
依
赖
如
下
的
5
个
模
块
信
息
。
1
.
6
监
控
病
毒
文
件
行
为
监
控
病
毒
文
件
行
为
通
过
P
r
o
c
m
o
n
进
程
监
控
工
具
进
程
监
控
工
具
进
行
可
以
监
控
进
程
启
动
时
,
该
病
毒
文
件
会
删
除
自
身
文
件
,
并
重
新
创
建
一
个
新
d
o
c
x
文
件
并
将
原
来
的
文
件
内
容
写
入
到
文
件
中
。
下
面
是
病
毒
运
行
后
释
放
出
来
的
原
始
文
件
,
第
二
个
文
件
是
为
了
分
析
用
,
不
让
其
进
行
自
动
删
除
病
毒
文
件
。
2
.
病
毒
文
件
的
关
键
功
能
信
息
分
析
病
毒
文
件
的
关
键
功
能
信
息
分
析
2
.
1
病
毒
样
本
的
反
调
试
功
能
病
毒
样
本
的
反
调
试
功
能
背
景
:
o
l
l
y
d
b
g
动
态
逆
向
分
析
工
具
动
态
逆
向
分
析
工
具
附
加
病
毒
文
件
进
程
,
病
毒
文
件
就
直
接
退
出
了
,
所
以
猜
测
该
病
毒
样
本
具
体
反
调
试
功
能
。
病
毒
样
本
的
反
调
试
功
能
函
数
:
病
毒
样
本
的
反
调
试
功
能
函
数
:
I
s
D
e
b
u
g
g
e
r
P
r
e
s
e
n
t
(
)
过
掉
反
调
试
功
能
:
通
过
A
P
I
H
o
o
k
(
可
以
用
微
软
可
以
用
微
软
D
e
t
o
u
r
s
库
库
)
方
式
将
反
调
试
功
能
函
数
给
方
式
将
反
调
试
功
能
函
数
给
H
o
o
k
掉
,
让
其
反
调
试
功
能
失
效
,
这
样
我
们
的
o
l
l
y
d
b
g
动
态
调
试
工
具
才
能
正
常
调
试
。
I
s
P
r
o
c
e
s
s
o
r
F
e
a
t
u
r
e
P
r
e
s
e
n
t
(
)
函
数
详
解
函
数
详
解
I
s
D
e
b
u
g
g
e
r
P
r
e
s
e
n
t
(
)
函
数
详
解
函
数
详
解
2
.
2
每
次
只
能
启
动
一
个
病
毒
样
本
实
例
每
次
只
能
启
动
一
个
病
毒
样
本
实
例
通
过
创
建
互
斥
体
C
r
e
a
t
e
M
u
t
e
x
A
(
)
方
式
进
行
实
现
功
能
C
r
e
a
t
e
M
u
t
e
x
(
)
函
数
详
解
函
数
详
解
2
.
3
病
毒
文
件
结
束
自
身
进
程
病
毒
文
件
结
束
自
身
进
程
释
放
完
原
始
的
d
o
c
x
文
件
后
,
病
毒
文
件
就
通
过
如
下
方
式
进
行
结
束
自
身
进
程
,
并
通
过
获
取
m
s
c
o
f
e
e
模
块
模
块
中
未
导
出
的
函
数
并
调
用
c
o
r
E
x
i
t
P
r
o
c
e
s
s
s
函
数
函
数
实
现
关
闭
当
前
进
程
的
非
托
管
进
程
。
2
.
4
启
动
原
始
的
启
动
原
始
的
d
o
c
x
文
件
文
件
通
过
C
r
e
a
t
e
P
r
o
c
e
s
s
(
)
函
数
函
数
方
式
进
行
启
动
打
开
d
o
c
x
文
件
。
2
.
5
进
行
信
息
收
集
上
传
进
行
信
息
收
集
上
传
通
过
T
C
P
网
络
传
输
网
络
传
输
方
式
进
行
数
据
的
信
息
收
集
并
上
传
到
病
毒
服
务
器
(
服
务
器
i
p
在
山
西
某
地
)
上
,
其
中
服
务
器
信
息
及
上
传
的
内
容
通
过
进
行
M
D
5
加
密
加
密
并
进
行
处
理
。
3
.
总
结
总
结
通
过
对
该
病
毒
样
本
的
基
本
信
息
分
析
,
可
以
了
解
到
该
病
毒
的
整
个
流
程
是
病
毒
的
整
个
流
程
是
:
启
动
病
毒
文
件
获
取
病
毒
文
件
的
路
径
及
文
件
相
关
信
息
,
释
放
出
原
始
的
文
件
到
病
毒
文
件
所
在
的
路
径
,
并
将
运
行
的
环
境
信
息
上
传
到
病
毒
服
务
器
,
接
着
自
动
删
除
病
毒
文
件
,
最
后
启
动
原
始
的
文
件
。
通
过
对
病
毒
逆
向
分
析
,
可
以
了
解
到
调
用
I
s
D
e
b
u
g
g
e
r
P
r
e
s
e
n
t
(
)
函
数
可
以
实
现
反
调
试
检
测
功
能
。
e
n
d
一
如
既
往
的
学
习
,
一
如
既
往
的
整
理
,
一
如
即
往
的
分
享
。
感
谢
支
持
“
如
侵
权
请
私
聊
公
众
号
删
文
”
扫
描
关
注
扫
描
关
注
L
e
m
o
n
S
e
c
觉
得
不
错
点
个
觉
得
不
错
点
个
“
赞
赞
”
、
、
“
在
看
在
看
”
哦
哦
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
逆向