office宏分析-创新互联
参考:
(1)工具篇:如何分析恶意文档【http://www[.]4hou.com/technology/2634[.]html】
(2)OLE文档分析工具之oletools介绍
【http://ahageek[.]com/blog/oletools-introduce/】
(3)github oletools
【https://github[.]com/decalage2/oletools】
(4)垃圾邮件分析实例
【http://blog[.]51cto[.]com/skytina/2051426】
(5)恶意邮件里的doc文件解析
【http://www[.]freebuf[.]com/articles/82814.html】
(6)oledump.py使用
【https://blog[.]didierstevens[.]com/2014/12/17/introducing-oledump-py/】
(7)工具集
【http://www[.]malware-analyzer[.]com/document-analysis-tools】
(8)officeMalScan使用
【https://www[.]aldeid[.]com/wiki/OfficeMalScanner/OfficeMalScanner】
使用python环境,
部分工具需要使用python2的版本,所以我本机装了python2.7和python3.5版本
在python2.7的安装目录将python.exe改为python2.exe,并将路径写入环境变量,这样就可以完成切换,别忘了安装pip【https://pypi[.]python[.]org/pypi/pip】
安装pip失败
安装settools【https://pypi[.]python[.]org/pypi/setuptools】
再安装pip成功
同理我们将pip.exe改为pip2.exe并写入环境变量
修改后的两个文件名
- 使用快捷键 ALT+F11 或在菜单工具栏,点击宏,编辑宏
2.使用oledump
安装模块olefile
pip install olefile
下载oledump
使用oledump
使用-s选项选择模块,查看数据,我这里选择第7个
则oledump -s 7 filename
文件需要用正确的文件后缀,要不然看不到数据。。。。我也服了
使用-v转换对应模块为vbs文档
具体宏功能就不看了。
还有很多功能请使用-h查看学习
3.使用officeMalscanner.exe查看宏
使用-h查看帮助文档
office要xml格式才能解析。。。。,先暂停使用。
记住使用inflate解压 info提取宏就可以了。。。。
4.使用oletools
下载安装
在目录tools下,使用olevbapy
-c: 只显示word中的宏代码
-a: 自动分析word是否可疑
oletools还有很多可用的,。。。自己到目录下查看吧
样本:
(1)SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a
(2)md5: 370751889f591000daa40c400d0611f2
(3)WIN_019_11.doc, SHA256 6780af202bf7534fd7fcfc37aa57e5a998e188ca7d65e22c0ea658 c73fad36a2
(4)WIN_019_11.doc, SHA256 f36cb4c31ee6cbce90b5d879cd2a97bcfe23a38d37365196c25e 6ff6a9f8aaa6
感谢同事的分享,学习啦
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
分享文章:office宏分析-创新互联
文章分享:http://hbruida.cn/article/dchpio.html