参考:
(1)工具篇:如何分析恶意文档【http://www[.]4hou.com/technology/2634[.]html】
(2)OLE文档分析工具之oletools介绍
【http://ahageek[.]com/blog/oletools-introduce/】
(3)github oletools
【https://github[.]com/decalage2/oletools】
(4)垃圾邮件分析实例
【http://blog[.]51cto[.]com/skytina/2051426】
(5)恶意邮件里的doc文件解析
【http://www[.]freebuf[.]com/articles/82814.html】
(6)oledump.py使用
【https://blog[.]didierstevens[.]com/2014/12/17/introducing-oledump-py/】
(7)工具集
【http://www[.]malware-analyzer[.]com/document-analysis-tools】
(8)officeMalScan使用
【https://www[.]aldeid[.]com/wiki/OfficeMalScanner/OfficeMalScanner】
使用python环境,
部分工具需要使用python2的版本,所以我本机装了python2.7和python3.5版本
在python2.7的安装目录将python.exe改为python2.exe,并将路径写入环境变量,这样就可以完成切换,别忘了安装pip【https://pypi[.]python[.]org/pypi/pip】
安装pip失败
安装settools【https://pypi[.]python[.]org/pypi/setuptools】
再安装pip成功
同理我们将pip.exe改为pip2.exe并写入环境变量
修改后的两个文件名
2.使用oledump
安装模块olefile
pip install olefile
下载oledump
使用oledump
使用-s选项选择模块,查看数据,我这里选择第7个
则oledump -s 7 filename
文件需要用正确的文件后缀,要不然看不到数据。。。。我也服了
使用-v转换对应模块为vbs文档
具体宏功能就不看了。
还有很多功能请使用-h查看学习
3.使用officeMalscanner.exe查看宏
使用-h查看帮助文档
office要xml格式才能解析。。。。,先暂停使用。
记住使用inflate解压 info提取宏就可以了。。。。
4.使用oletools
下载安装
在目录tools下,使用olevbapy
-c: 只显示word中的宏代码
-a: 自动分析word是否可疑
oletools还有很多可用的,。。。自己到目录下查看吧
样本:
(1)SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a
(2)md5: 370751889f591000daa40c400d0611f2
(3)WIN_019_11.doc, SHA256 6780af202bf7534fd7fcfc37aa57e5a998e188ca7d65e22c0ea658 c73fad36a2
(4)WIN_019_11.doc, SHA256 f36cb4c31ee6cbce90b5d879cd2a97bcfe23a38d37365196c25e 6ff6a9f8aaa6
感谢同事的分享,学习啦
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。