office 宏病毒分析

最新推荐文章于 2025-05-07 16:53:32 发布
原创 最新推荐文章于 2025-05-07 16:53:32 发布 · 2.1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oledump.py #VBS

1、样本信息

  • 在网上下载样本,是一个word的宏病毒
名称713-288-4192.doc
MD561F1A99292A199F867B168B76FC8CC74
SHA1967DA912065D014C275463917D236836967B27CA
CRC32A117A12E

2、分析工具准备

  • 在linux平台下安装
  • 安装依赖包
wget https://bitbucket.org/decalage/olefileio_pl/downloads/olefile-0.41.zip
  • 解压/安装
unzip oldfile-0.41.zip

cd oldfile-0.41

sudo python setup.py install
  • 下载oledump
wget http://didierstevens.com/files/software/oledump_V0_0_4.zip
  • oledump.py -h  可以查看帮助信息
  • 解压

3、分析样本

  • 在oldfile-0.41路径下打开终端,为了输入命令方便,我把文件名改成2.doc
python oledump.py 2.doc

  • 模块8处有一个M,说明该模块中有宏,以下命令查看宏脚本
python oledump.py -s 8 -v 2.doc
  • -s 段号:表示取出某一段查看内容,-v:加压缩VBS宏,这两个参数结合起来就可以查看宏源码

  • 也可以将源码保存到一个txt文件中,通过 > 命令
python oledump.py -s 8 -v 2.doc >1.txt
  • 接下来就可以对源码进行分析了

  • 查看word中的内容

PS.

  • 如果word中存在exe,那么可以通过解码得到十六进制数据
python oledump.py -s 15  -D decoder_ah.py 2.doc  | more

  • 之后再把数据导出来,保存为exe格式即可
python oledump.py -s 15  -D decoder_ah.py -d 2.doc  >1.exe

 

搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。

 

 

分析office宏病毒工具
墨痕诉清风的博客
01-15 692
oletools是一个python工具包,用于分析Microsoft OLE 2文件(也称为结构化存储,复合文件二进制格式或复合文档文件格式),如Microsoft Office 97-2003文档,MSI文件或Outlook消息,主要用于恶意软件分析,取证和调试。它基于olefile解析器。它还提供了工具来分析RTF文件和基于OpenXML格式(又名OOXML)的文件,如MS Office 2007+文档,XPS或MSIX文件。
StartUp.xls 查杀Excel宏病毒
01-09
Excel中了宏病毒之后以下方法可以使用可以试试屡试不爽。 怎样查杀Excel宏病毒“Starup”、“results”,看看这个也许给我答案
宏病毒防护与免疫策略详解
最新发布
weixin_42607969的博客
05-07 933
在过去的章节中,我们从多个角度深入探讨了宏病毒的相关主题。首先,我们从基础概念和原理入手,对宏病毒进行了初步的介绍,并分析了不同种类宏病毒及其造成的危害。其次,我们提出了预防宏病毒的有效措施,包括提升安全意识、选择合适的防病毒软件,以及实施操作系统安全策略等。随后,我们深入到了宏病毒的检测与查杀,介绍了手动查杀技巧和自动化查杀工具的使用,以及宏病毒免疫的理论与实践,包括免疫机制的原理和宏病毒免疫策略的演进。在章节六,我们探讨了宏病毒防控的未来发展趋势,涉及了最新防控技术的进展和策略创新。
宏病毒分析
mez_Blog的博客
05-06 4850
1.实训目的掌握宏病毒的制作方法2.实训环境PC、Windows 8、Windows 7、Windows xp等操作系统,office办公软件3.实训内容制作宏病毒,并运行分析。具体实训步骤如下:(1)启动word,创建一个新文档(2)在新文档中打开工具菜单、选择宏、查看宏(3)为宏起一个名字,自动宏的名字规定必须为autoexec(4)单击创建按钮(5)在宏代码编辑窗口,输入VB代码Shell(...
OfficeMalScanner(宏病毒分析)软件分享,绝对免费!
ntrybw的博客
10-13 1187
链接:https://pan.baidu.com/s/1dbW75x77mQ09NUeR5ETN6A?--来自百度网盘超级会员V3的分享。强烈支持软件免费分享!
宏病毒的研究与实例分析02——复合文档格式分析
鬼手的博客
03-11 2513
文章目录复合文档二进制解析复合文档数据结构解析准备工作基础知识HeaderFATDirectory补充宏代码数据结构解析说明 目前主流杀软在处理宏病毒时,都是直接删除含有宏病毒的文档,这样处理显得有些粗暴,将导致用户无法查看文档里的数据,如果是一些重要的业务数据,将造成业务数据的丢失,产生无法估计的后果。本文将介绍一种宏病毒处理思路,在不删除文档文件的情况下清除宏病毒。 复合文档二进制解析 在正式...
office文档病毒分析整体思路
qq_45844442的博客
11-14 1971
1.打开office文档时,看看加载页面是否有相关下载连接服务器等字眼,如果出现则说明利用的远程注入,直接以压缩包方式打开该文档到/word/_rels/settings.xml.rels 这个文件中查看相应的连接地址。2.进入文档后看看是否有提示说启用宏或者启用应用程序等字眼,有该提示说明有宏文件或者DDE命令,直接去宏编辑器查看宏命令,将。5.对于VBA工程锁定不可查看这种情况,可以试着使用EvilClippy工具进行解除锁定,命令如下。打开即可在文档页面查看到该DDE命令。
计算机宏病毒分析及清除实验.pdf
03-28
计算机宏病毒分析及清除实验是IT安全领域中的一个重要主题,主要关注如何理解和处理宏病毒,这类病毒常通过Microsoft Office文档传播。以下是对宏病毒的基本理解、其工作原理以及清除策略的详细阐述: 一、宏病毒...
2012版宏病毒专杀软件:彻底清除Office宏病毒
该软件特别强调了对Office宏病毒的处理能力,表明其在检测和清除Office文档中嵌入的宏病毒方面表现出色。 标签:“宏病毒”这是该软件的核心关键词,用于标识软件功能和用途,即专为对抗宏病毒设计。 压缩包子文件...
Office宏病毒的专杀工具介绍与实用方法
Office宏病毒专杀工具是针对Microsoft Office办公软件中可能被恶意宏代码感染的问题而开发的软件产品。宏病毒是一种特殊的病毒,它利用了Office软件中的宏功能,通过编写特定的VBA(Visual Basic for Applications)...
CleanMacro宏病毒专杀工具——有效解决Office宏病毒问题
然而,随之而来的安全威胁,尤其是宏病毒,给广大Office用户带来了严重的困扰。宏病毒是一种利用Office文档中的宏功能进行自我复制和传播的恶意程序。它通常隐藏在Word、Excel等Office文档中,并且可以通过打开受...
宏病毒查杀工具
04-23
这是一个宏病毒专杀工具可以有效的查杀宏(很好用,方便操作,介绍给大家,谢谢,)
office宏病毒专杀
12-07
Office宏病毒专杀工具是一种专门针对Microsoft Office文档中携带的宏病毒进行查杀的软件。宏病毒是利用Microsoft Office中的宏功能,编写出的能够自我复制并传播的恶意代码,通常隐藏在Word、Excel或PowerPoint等...
宏病毒分析技巧 - 绕过密码保护
u012871930的博客
03-18 525
分析宏病毒样本时,偶尔会遇到带密码的宏病毒样本,有些工具可以直接读取或绕过输入密码 这里使用一种简单粗暴的方法来绕过宏密码保护,使用任意一款16进制编辑器,搜索DPB 将其修改为DPX 保存后,重新打开宏病毒样本,WORD弹出错误提示,点击 是 使用ALT+F11打开宏编辑器,然后打开右键Project属性 在属性窗口->保护 我们可以取消密码保护,或输入一个新密码 这里...
宏病毒的研究与实例分析05——无宏文件携带宏病毒
鬼手的博客
03-11 1812
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是宏病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
Office宏恶意脚本技术研究
不忘初心,护天下安全!
05-15 651
非PE的间接文件:A、基于宏(类型III:Offic文档、PDF文档)
Excel4.0宏病毒查看隐藏宏代码
Sven的忘却日记
03-19 3546
样本可用下载地址:https://github.com/InQuest/malware-samples/blob/master/2019-01-15-Mal-Excel-Doc-Macrosheet/98e4695eb06b12221f09956c4ee465ca5b50f20c0a5dc0550cad02d1d7131526 0)常规宏病毒 跟以往的宏病毒不太一样,平时遇到宏病毒,可以按住shi...
简单宏病毒研究
richard1230的博客
03-13 3693
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值