obfuscation_from_Excel_VBA_Part2

继续分析 4 个要下载的文件的列表。

下载到本地继续分析。

下载文件后，它将使用该函数提取每个像素以及 B 和 G 颜色值，进行数学运算然后作为字符输出。
之后，它将传递从像素解码的 base64 字符串和 ([System.Version]).”nAME” 的结果，其计算结果为“Version”。该值用作解密中的密钥。
解密函数将使用派生密钥函数中 base64 编码数据的前 32 个字节。它还将使用传递的键值。HMAC 部分并不是真正需要正确解密数据。然后我们使用 RijndaelManaged 解密。
如果数据被正确解密，我们就会得到第一个字节 0x1F。这也告诉我们，无需查看其余代码，这就是 GZip 压缩数据输出。
虽然仍在解密函数中，但它会在返回另一个 base64 字符串之前对数据进行 GZip 解压缩。

更改脚本，更改为本地地址搭建个http服务端，再接着删除&("{1}{0}" -f 'X','IE')字符，因该函数为iex执行，删除后就可以直接输出结果。

输出内容。

看到$Fghg将被设置为一个值，需要 LCID，而文档为日语。则需找到日语的LCID即可

而LCID为1041

第一个值为408

则更改脚本如下，并去掉iex输出变量okkiis的值即可

同时再增加前面脚本的func OtTAsS和func bAvV

即如下完整脚本

$MmUz='base64 code';
&'sal' oM new-ObJeCT;.'Add-Type' -AssemblyName 'System.Drawing';
function OtTAsS {param ([String]${IgAa}, [String]${pcxC})${byTuRo} = [Convert]::"FROmBASe64string"(${IGAA});
${TlAS} = &('Om') bYtE[](32);[Array]::"CoPy"(${bYTuRo}, 0, ${TLaS}, 0, 32);
${rcxz0} = .('Om') SystEM.sEcURITY.cRyptOgRAPhY.RfC2898deRIVeBYtEs(${PCxc},${tLAS});
${Xa2d} = ${rCxZ0}."GEtBYTES"(32);
${DEfS} = ${Rcxz0}."geTbyTES"(16);
${HmaC} = .('Om') sYsTEM.sEcUrItY.CRYPtOgRapHY.HMAcSHA1(,${rcxz0}."getBYtes"(20));
${eedER} = ${hMAc}."compuTehAsh"(${bytuRO}, 52, ${BYTURO}."LeNGTh" - 52);
IF (&'Compare-Object' ${eeDER} (${byTUrO}[32..51]) -SyncWindow 0) {throw ''}
${Aes} = .('Om') sECuRITY.CryPTOgRapHY.rijnDAelMANAgED;
${QAsAq} = ${aES}."cREATeDeCRYPTOr"(${XA2D}, ${deFS});
${MJOkO} = ${QasAq}."TRaNsFoRmfINALbLOCK"(${bYTUro}, 52, ${BYTuRO}."lenGtH" - 52);
${adAmi} = .('Om') System.Io.meMOrYSTream(${MJOkO}, ${FalSE});

IF (${mjoKO}[0] -eq 0x1f) 
{${aDaMi} = &('Om') SYsTEM.IO.cOMpRessION.gZIpStReAm(${adami}, [IO.Compression.CompressionMode]::"DEcomPrESS")}
${sTREAMreadEr} = &('Om') sYsTEM.iO.sTrEaMReadEr(${aDAmI}, ${TRUe});
${sTrEAmrEaDeR}."REAdtOeND"()};

Function bAvV(${t64IN}){${bCzA}  = [System.Convert]::"frOmbASe64StrINg"(${T64iN});
${SeNegS} = [System.Text.Encoding]::"uTf8"."gETSTring"(${bCzA});
return ${SeneGS}};


$Fghg= 408 + 1041;
$r44r=Ottass -Igaa $MmUz -Pcxc $Fghg;
$OkKiiS=Bavv($r44r);
$OkKiiS