最近我收到了一个恶意文档样本(MD5:FAF75220C0423F94658618C9169B3568)
我们可以看到它是MIME类型文件,这就是文件被混淆所在。第二行开始是多行带有随机字符和数字混淆编码,通过我自己的python MIME解析工具emldump解析后得到如下图:
emldump检测到这只是一个文本文件,而不是由多部分组成的MIME类型文件,如果我们移除第二行后,再配合findstr /v (or grep -v)来检测的时候,emldump就识别出其他部分。
因为混淆MIME类型文件已越来越流行了,所以我就增加了一项过滤以便过滤出混淆MIME类型文件的部分。如果不适用-f选项则会抛出文件超过100行的警告并且会把标题行给忽略了(就像使用-H选项一样)。
使用-f选项你就你就可以过滤出混淆部分。
样本下载:
MD5: 819D4AF55F556B2AF08DCFB3F7A8C878
SHA256: D5C7C2A1DD3744CB0F50EEDFA727FF0487A32330FF5B7498349E4CB96E4AB284
发表评论
您还未登录,请先登录。
登录