如何调试Word宏病毒,以及使用VS调试VB脚本

时间  2021-07-14 标签 宏病毒 调试宏

一般Word被嵌入了带有恶意行为的宏代码(VBA代码),当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。或者有的word默认是禁止宏运行,会弹出一个提示,是否允许运行携带的宏代码。

在这里插入图片描述

上面是一个11月份的比较新的,针对银行的木马,主要通过垃圾邮件附件的方式传播,以Word宏作为病毒载体。

我使用的是Office2013默认禁止运行宏。但是邮件的内容是诱导用户去点击那个"启动内容"的按钮。一旦用户点击了那个按钮,恶意的宏代码便会立刻执行。

我们可以通过ALT+F11来打开宏的编辑窗口,如果你是在"启动内容"按钮前按下这个快捷键,那你啥也看不到。
在这里插入图片描述

如果你是点击按钮后,再按ALT+F11,虽然能看到宏代码,但是这时宏病毒已经运行了,意义不大。
在这里插入图片描述

如果我想在宏代码开始加载的时候断下来,该怎么办?可以在点击"启用内容"按钮的时候,按住SHIFT键,点击"启用内容"按钮,然后松开SHIFT。然后按下ALT+F11,打开宏编辑窗口,这时候可以在宏代码的main函数下断点、单步了。

在这里插入图片描述

如何使用VS调试VB代码

首先需要把VS设置为JIT调试器,打开VS设置选项,调试->实时。确保脚本这一项被勾上。
在这里插入图片描述

写一个简单的VB脚本

Sub fun()
	MsgBox "test"
End Sub

call fun

使用命令行启动,并调试vb脚本

wscript /X ./demo.vbs

在这里插入图片描述

此时可以单步调试vb脚本啦
在这里插入图片描述

联系我们 沪ICP备13005482号-10