office 宏病毒分析

1、样本信息

  • 在网上下载样本,是一个word的宏病毒
名称713-288-4192.doc
MD561F1A99292A199F867B168B76FC8CC74
SHA1967DA912065D014C275463917D236836967B27CA
CRC32A117A12E

2、分析工具准备

  • 在linux平台下安装
  • 安装依赖包
wget https://bitbucket.org/decalage/olefileio_pl/downloads/olefile-0.41.zip
  • 解压/安装
unzip oldfile-0.41.zip

cd oldfile-0.41

sudo python setup.py install
  • 下载oledump
wget http://didierstevens.com/files/software/oledump_V0_0_4.zip
  • oledump.py -h  可以查看帮助信息
  • 解压

3、分析样本

  • 在oldfile-0.41路径下打开终端,为了输入命令方便,我把文件名改成2.doc
python oledump.py 2.doc

  • 模块8处有一个M,说明该模块中有宏,以下命令查看宏脚本
python oledump.py -s 8 -v 2.doc
  • -s 段号:表示取出某一段查看内容,-v:加压缩VBS宏,这两个参数结合起来就可以查看宏源码

  • 也可以将源码保存到一个txt文件中,通过 > 命令
python oledump.py -s 8 -v 2.doc >1.txt
  • 接下来就可以对源码进行分析了

  • 查看word中的内容

PS.

  • 如果word中存在exe,那么可以通过解码得到十六进制数据
python oledump.py -s 15  -D decoder_ah.py 2.doc  | more

  • 之后再把数据导出来,保存为exe格式即可
python oledump.py -s 15  -D decoder_ah.py -d 2.doc  >1.exe

 

搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值