在上一节中，研究人员已经研究了Emotet通过运行Microsoft Word文档中混淆VBA宏来删除有效载荷的能力。 本文中，研究人员会举一个Emotet示例的二进制进行分析，探索恶意软件是如何工作的。其中研究人员演示了如何对主要有效载荷进行解压缩，并在调试器中解压缩后遵循其执行进程。 Emotet的执行包括多个阶段的混淆可执行文档，这些可执行文档已加载到内存中，并且在不同的内存区域都具有复杂

背景介绍 工作遇到多个经过同样方式混淆并隐藏的宏代码文档，利用Excel表格特性，将数据分离在不同的单元格中，再使用Office自带的函数对单元格的数值进行提取后组合成代码字符串运行。运行的代码完成下载恶意文件到本地并注册为服务的恶意行为。 点击此处即可领取282G网络安全学习籽料 致谢 感谢杰哥对我这头菜猪的帮助，经常半夜问他还会理我 (〒▽〒)让我终于能自己写出Python完成想要的功