  Сейчас на форуме: Medsft (+3 невидимых) |
| · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN · |
 |
eXeL@B —› Основной форум —› Просмотр макроса / не активируя его |
| Посл.ответ | Сообщение |
|
|
Создано: 8 декабря 2015 11:44 · Поправил: 8 декабря 2015 15:01 Модератор New! Цитата · Личное сообщение · #1 Пришло по почте говницо в виде .mht архива, с измененным расширением .doc Ворд видит там макросы, и судя по всему это давнлоадер какой то. Как открыть и посмотреть макросы в ворде я знаю, вопрос можно ли сделать это же не активируя их?. Пробовал выдрать содержание, результатом которого получился editdata.mso (ActiveMime object (.MSO)) Но чем его открыть, тоже не понятно. |
|
|
Создано: 8 декабря 2015 12:46 New! Цитата · Личное сообщение · #2 |
|
|
Создано: 8 декабря 2015 12:53 · Поправил: 8 декабря 2015 15:28 -=AkaBOSS=- New! Цитата · Личное сообщение · #3 KingSise пишет: получился editdata.mso (ActiveMime object (.MSO)) Но чем его открыть, тоже не понятно. cmd> OfficeMalScanner vbaProject.bin info | Сообщение посчитали полезным: KingSise |
|
|
Создано: 8 декабря 2015 12:58 · Поправил: 8 декабря 2015 14:10 KingSise New! Цитата · Личное сообщение · #4 -=AkaBOSS=-, толь я твое сообщение не увидел, толи еще что. Спасибо за инфу, это то что нужно. вопрос снимается, не увидел вот это: The zlib compressed data on ActiveMime part starts with the magic hex number 0x789C (zlib compressed data) upto the end of file. You can use the following simple python code that I wrote that can decode the discussed zlib compressed data on ActiveMime. |
|
|
Создано: 8 декабря 2015 14:18 · Поправил: 8 декабря 2015 14:20 -=AkaBOSS=- New! Цитата · Личное сообщение · #5 KingSise зеленым отмечен размер блока, начиная со следующего байта. начало сжатых данных отмечено жёлтым - zlib видно невооружённым глазом. я уже ведь вытащил всё и предоставил в предыдущем посте. сам скрипт после деобфускации выглядит примерно так: Code:
пары ключевых переменных не хватает, куда они пропали - хз. на форме еще висят две строчки, возможно как-то связаны: "91.223.88.50" "cmd /c start %TMP%/suka.exe" |
|
|
Создано: 8 декабря 2015 14:30 New! Цитата · Личное сообщение · #6 Мдя, автор с переменными особо не старался ;) Особенно радует karma, anal, suka ☺ Добавлено спустя 1 минуту -=AkaBOSS=- пишет: я уже ведь вытащил всё и предоставил в предыдущем посте. да, я видел, хотел на будущее саму распаковку понять. Что то много последнее время говница такого приходить стало... |
|
|
Создано: 8 декабря 2015 15:01 New! Цитата #7 От модератора: Забанить тебя что ли на недельку за атачи вирусни на форуме? | Сообщение посчитали полезным: KingSise |
|
|
Создано: 8 декабря 2015 15:04 New! Цитата · Личное сообщение · #8 int пишет: за атачи вирусни на форуме? ну в общем было бы справедливо  . Как то подзабыл запаролить и на обменник кинуть .
|
|
|
Создано: 8 декабря 2015 22:02 New! Цитата · Личное сообщение · #9 С 2003го офиса же политика безопасности по дефолту не позволит исполнить макрос в doc, xls |
|
|
Создано: 8 декабря 2015 22:05 · Поправил: 8 декабря 2015 22:05 dosprog New! Цитата · Личное сообщение · #10 DenCoder пишет: С 2003го офиса же политика безопасности по дефолту не позволит исполнить макрос в doc, xls А что толку? - Редактирование макросов всё равно запаролено. |
|
|
Создано: 10 декабря 2015 14:04 New! Цитата · Личное сообщение · #11 Может для кого-то окажется открытием. Я без проблем открывал макросы, заблокированные в мелкомягком офисе, через open-office. Макрос был исправлен на бинарном уровне. Open-office всякий мусор в коде макроса выводил, но прочитать и понять макрос не составило труда. Исправить и сохранить правда не получится. |
|
|
Создано: 23 января 2016 18:54 · Поправил: 23 января 2016 18:59 kapka29 New! Цитата · Личное сообщение · #12 есть макрос для corel, он привязан к железу, думаю что к жёсткому диску. есть какие5 либо варианты сделать этот макрос что бы он ставился на любое железо? программой HENPortable добираюсь до состовляющих этого макроса, изменяю DPB на DPx, вижу коды которые указывают на железо а изменить их или выкинуть ну ваще не получаеться. вот пример того что мне открываеться. под пункт run program Public Sub Zapysk() Dim strComputer As String Dim objWMIService As Object Dim k As Double Dim serial As String Dim s As String Dim colDiskDrive As Object, objDiskDrive As Object strComputer = "." TB_path = Application.Path Set myFSO = CreateObject("Scripting.FileSystemObject") Set Fld = myFSO.GetFolder(TB_path + "GMS\Sborka_T") Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!" & strComputer & "\root\cimv2") Set colDiskDrive = objWMIService.execquery("SELECT * FROM Win32_PhysicalMedia ") For Each objDiskDrive In colDiskDrive k = k + 1 Debug.Print "Serial Namber HDD:" & objDiskDrive.SerialNumber '????? ? ???? immediate If k = 1 Then s = objDiskDrive.SerialNumber End If Next ' MsgBox "SerialNumber: " & s & Chr(10) serial = " здеся я так думаю и прописано железо .номер убрал" zf = Trim(s) serial = Trim(serial) ' MsgBox Len(serial) & " " & Len(zf) Debug.Print "PC_code |" & zf & "| " & "Klient code |" & serial & "| " Debug.Print InStr(1, zf, serial, vbTextCompare) If InStr(1, zf, serial, vbTextCompare) = 1 Then frmFasad.Show Else Fld.Delete Kill TB_path + "GMS\*.gms" MsgBox "Bye" Exit Sub End If End Sub |
|
|
Создано: 23 января 2016 23:50 New! Цитата · Личное сообщение · #13 s = objDiskDrive.SerialNumber - вот тут считанный серийник винта ;serial по ходу это введённый юзером серийник же ;а вот и проверка If InStr(1, zf, serial, vbTextCompare) = 1 Then frmFasad.Show Else Fld.Delete Kill TB_path + "GMS\*.gms" MsgBox "Bye" Exit Sub End If ; вместо неё можно просто оставить frmFasad.Show |
|
eXeL@B —› Основной форум —› Просмотр макроса / не активируя его |
