重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

office宏分析-创新互联

参考:
(1)工具篇:如何分析恶意文档【http://www[.]4hou.com/technology/2634[.]html】
(2)OLE文档分析工具之oletools介绍
【http://ahageek[.]com/blog/oletools-introduce/】
(3)github oletools
【https://github[.]com/decalage2/oletools】
(4)垃圾邮件分析实例
【http://blog[.]51cto[.]com/skytina/2051426】
(5)恶意邮件里的doc文件解析
【http://www[.]freebuf[.]com/articles/82814.html】
(6)oledump.py使用
【https://blog[.]didierstevens[.]com/2014/12/17/introducing-oledump-py/】
(7)工具集
【http://www[.]malware-analyzer[.]com/document-analysis-tools】
(8)officeMalScan使用
【https://www[.]aldeid[.]com/wiki/OfficeMalScanner/OfficeMalScanner】

创新互联专注于巍山网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供巍山营销型网站建设,巍山网站制作、巍山网页设计、巍山网站官网定制、微信小程序开发服务,打造巍山网络公司原创品牌,更为您提供巍山网站排名全网营销落地服务。

使用python环境,
部分工具需要使用python2的版本,所以我本机装了python2.7和python3.5版本
在python2.7的安装目录将python.exe改为python2.exe,并将路径写入环境变量,这样就可以完成切换,别忘了安装pip【https://pypi[.]python[.]org/pypi/pip】
office宏分析

安装pip失败
office宏分析
安装settools【https://pypi[.]python[.]org/pypi/setuptools】
office宏分析
office宏分析
office宏分析

再安装pip成功
office宏分析

同理我们将pip.exe改为pip2.exe并写入环境变量
office宏分析

office宏分析

修改后的两个文件名
office宏分析


  1. 使用快捷键 ALT+F11 或在菜单工具栏,点击宏,编辑宏
    office宏分析

2.使用oledump

安装模块olefile
pip install olefile
office宏分析
下载oledump
office宏分析
使用oledump
office宏分析

使用-s选项选择模块,查看数据,我这里选择第7个
则oledump -s 7 filename
文件需要用正确的文件后缀,要不然看不到数据。。。。我也服了
office宏分析
使用-v转换对应模块为vbs文档
office宏分析
具体宏功能就不看了。
office宏分析
还有很多功能请使用-h查看学习
3.使用officeMalscanner.exe查看宏
office宏分析

使用-h查看帮助文档
office宏分析
office要xml格式才能解析。。。。,先暂停使用。
记住使用inflate解压 info提取宏就可以了。。。。
office宏分析

4.使用oletools
下载安装
office宏分析

在目录tools下,使用olevbapy
-c: 只显示word中的宏代码
-a: 自动分析word是否可疑
office宏分析
oletools还有很多可用的,。。。自己到目录下查看吧
office宏分析

样本:
(1)SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a
(2)md5: 370751889f591000daa40c400d0611f2
(3)WIN_019_11.doc, SHA256 6780af202bf7534fd7fcfc37aa57e5a998e188ca7d65e22c0ea658 c73fad36a2
(4)WIN_019_11.doc, SHA256 f36cb4c31ee6cbce90b5d879cd2a97bcfe23a38d37365196c25e 6ff6a9f8aaa6

感谢同事的分享,学习啦

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


当前名称:office宏分析-创新互联
分享路径:http://cqcxhl.cn/article/dchpio.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP