如何解决了解复合文档文件 V2 文档恶意软件文件
我有一个恶意软件要使用 md5sum 进行分析 - 000cbfb28e750f2e321551c03e4fe488
当我运行 file {malware-file-name} 时,它显示:Composite Document File V2 Document,Little Endian,Os: Windows,Version 6.3,MSI Installer,Last Printed: Fri Dec 11 11:47:44 2009,Create Time/Date: Fri Dec 11 11:47:44 2009,Last Saved Time/Date: Fri Dec 11 11:47:44 2009,Security: 0,Code page: 1252,Revision Number: {2FA78889-1A12-4B8C-93FE-9F1F2A6C1FFB},Number of Words: 10,Subject: ekFW6uNGmArL5v7g,Author: ekFW6uNGmArL5v7g,Name of Creating Application: Advanced Installer 14.8 build 281f49a4fb,Template: ;1033,Comments: This installer database contains the logic and data required to install ekFW6uNGmArL5v7g.,Title: Installation Database,Keywords: Installer,MSI,Database,Number of Pages: 200
我该如何拆解它并了解这个恶意软件在做什么? br>
我尝试在 IDA 上打开它。但是函数名都是随机的,没有任何提示
关于这是做什么的。
任何提示/想法/工具如何进行?
解决方法
您正在查看的文件是 MSI 安装程序文件。这可以由创建文件的应用程序识别
Name of Creating Application: Advanced Installer 14.8 build 281f49a4fb
MSI 安装程序文件使用复合文档格式 (CDF) 结构。 CDF 文件由流(文件)和存储(文件夹)组成。 7zip 等实用程序可以解析 CDF 文件并将复合文件提取到流和存储中。提取后,您将获得可执行文件及其组件,可以对其进行分析。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
