OLE工具套件分析OFFICE宏恶意样本

最新推荐文章于 2024-12-05 23:22:37 发布

转载

最新推荐文章于 2024-12-05 23:22:37 发布 · 1.2k 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/KevinGeorge/p/7868881.html

文章标签：

#python #shell #数据结构与算法

本文介绍了OLE工具套件中的oletools，用于分析OFFICE文档，特别是针对宏恶意样本的检查。通过olevba等工具，展示了如何检测样本的潜在威胁，如AutoOpen宏中的Shell命令和Base64编码字符串。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

零、绪论：OLE工具套件的介绍

OLE工具套件是一款针对OFFICE文档开发的具有强大分析功能一组工具集。这里主要介绍基于Python2.7的OLEtools的安装和使用。

（1）Python版本需求：2.7.9 及以上

（2）安装方法：pip install -U https://github.com/decalage2/oletools/archive/master.zip

（3）使用方法：在CMD、POWERSHELL或者LINUX SHELL中工具名称直接作为命令使用。

一、工具的介绍：

1、mraptor 检查样本是否为恶意。

结果为疑似SUSPICIOUS，权限AWX中没有写权限（w）A为自动执行权限，X为可执行权限

2、olebrowse介绍，一款可以查看ole文件内容的小“浏览器”

3、oledir 查看文档内部的ole目录

OLE的目录就是一种包含名称和存储了文件数据流位置的一种数据结构(详见[MS-CFB])。每个目录可能会被使用，或者完全是空的。

4、OLEMAP 查看文件的FAT分配表

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30765319

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

23、Linux系统恶意软件取证：文件识别与分析指南

plum99的博客

07-28

本文详细介绍了在Linux系统中进行恶意软件取证的文件识别与分析方法。内容涵盖常用工具的使用、文件分析的注意事项、不同文件类型的分析步骤以及实际案例解析。通过静态分析和多种工具的结合使用，帮助读者全面了解恶意软件的特征与行为，为深入调查和安全防护提供指导。

22、微软办公文件剖析与恶意检测指南

最新发布

plum99的博客

07-27

本文详细介绍了如何对微软办公文件（如 Word、Excel 和 PowerPoint）进行恶意检测与结构剖析。内容涵盖微软办公文件的格式（二进制和 Office Open XML）、常见漏洞及利用方式，并通过一系列专业工具（如 OfficeMalScanner、exiftool、OffVis 和 officecat）对可疑文档进行分类、元数据提取、结构解析、shellcode 检测及嵌入式恶意代码提取。文中还提供了实际案例分析和操作示例，帮助安全研究人员识别恶意文档、追溯攻击来源并深入理解其感染机制。适用于

参与评论您还未登录，请先登录后发表或查看评论

oletools：oletools-用于分析MS OLE2文件（结构化存储，复合文件二进制格式）和MS Office文档的python工具，用于恶意软件分析，取证和调试

02-05

python-oletools 是python工具包，用于分析（也称为结构化存储，复合文件二进制格式或复合文档文件格式），例如Microsoft Office文档或Outlook邮件，主要用于恶意软件分析，取证和调试。它基于解析器。有关更多信息，请参见。快速链接：----- 注意：python-oletools与BeCubed Software发布的OLETools不相关。新闻 2020-09-28 v0.56 ： olevba / mraptor：添加了对触发器_OnConnecting的检测 olevba：将plugin_biff更新为v0.0.17，以改进Excel

微软 ole 格式解析完整代码

03-31

/* cole - A free C OLE library. cole_extract - Extract a file from a filesystem. Copyright 1998, 1999 Roberto Arturo Tena Sanchez This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA */ /* Arturo Tena */ #include /* To compile this file outside cole source tree, you must include here instead */ #include "cole.h" #define PRGNAME "iOLE" #define BUFFER_SIZE 128 int main(int argc, char **argv) { COLEFS *cfs; COLEFILE *cf; COLERRNO colerrno; char buffer[BUFFER_SIZE]; size_t char_read; if (argc != 3) { fprintf(stderr, "cole_extract. Extract a file from a " "filesystem to the standard output.\n" "Usage: "PRGNAME" \n" " FILE - File with the filesystem.\n" " INFILE - Filename of the file to extract.\n"); exit(1); } printf("%s",argv[1]); cfs = cole_mount(argv[1], &colerrno); if (cfs == NULL) { cole_perror(PRGNAME, colerrno); exit(1); } cf = cole_fopen(cfs, argv[2], &colerrno); if (cf == NULL) { cole_perror(PRGNAME, colerrno); cole_umount(cfs, NULL); exit(1); } while ((char_read = cole_fread(cf, buffer, BUFFER_SIZE, &colerrno))) { if (fwrite(buffer, 1, char_read, stdout) != char_read) { break; } } if (!cole_feof(cf)) { cole_perror(PRGNAME, colerrno); cole_umount(cfs, NULL); exit(1); } if (cole_fclose(

office宏分析

weixin_34029949的博客

12-20

968

参考：（1）工具篇：如何分析恶意文档【http://www[.]4hou.com/technology/2634[.]html】（2）OLE文档分析工具之oletools介绍【http://ahageek[.]com/blog/oletools-introduce/】（3）github oletools【https://github[.]com/decalage2/oletools】（4）垃圾邮件...

PHP实现office中宏的提取

零风の后花园

04-15

2400

其实是通过调用外部工具实现，外部工具为 OfficeMalScanner php代码如下： <?php $path = "e:\\php\\malware.xls"; //待判断文件位置 $type = "bin"; //bin为常见二进制格式，xml为xml格式 $officescanner = "e:\\officemalscanner\\officemalscanner.e

【Office】Excel如何导出宏

大白的求知路

02-09

5976

步骤： ①打开带有宏的Excel，“开发工具”-“宏”- 选择需要导出的宏 -“编辑”，打开宏的编辑窗口（点击编辑报错‘不能在隐藏工作簿中编辑宏。请选定"取消窗口隐藏”命令以显示工作簿’的请看这里解决https://blog.youkuaiyun.com/xiang0731/article/details/104231923） ②“文件”-“导出文件” ③注意这里要保存为.bas格式的文件 ...

重装上阵：OFFICE攻击来袭.pdf

08-08

- **攻击实现**：攻击者同样利用Office文档作为初始攻击载体，文档包含的恶意代码利用上述漏洞，再通过特定的OLE对象（如URLMoniker）来执行恶意脚本，实现对受害者的攻击。 3. **案例研究三：CVE-2017-8759漏洞...

OLE简介

smilelance的移动开发专栏

05-23

5884

OLE 背景知识OLE 是一种机制，它允许用户创建和编辑包含由多个应用程序创建的项或者“对象”的文档。注意 OLE 最初是对象链接和嵌入 (Object Linking and Embedding) 的首字母缩写词，但现在被称为 OLE。OLE 中与链接和嵌入无关的部分现在已成为 Active 技术的一部分。OLE 文档（过去被称为复合文档）无缝地集成了各种类型的数据或组件。声音剪

[04]恶意文档分析-工具篇-OleTools（一）

lwwzyy

12-05

1636

恶意文档分析，一学就会!

oletools-rtfobj

08-01

rtf文档提取object对象数据，oletools集合多个插件，帮助安全人员高效提取数据。快速分析常见钓鱼文档，rtf格式的解析信息输出。

oletools下载安装及rtfobj使用

一个热爱逆向，喜爱学习、分享的猿。

04-14

3883

rtf内嵌对象分析提取工具rtfobj是oletools的一部分 oletools各个版本下载地址https://bitbucket.org/decalage/oletools/downloads/ 下载后解压，需要安装python环境，解压后：进入oletools目录即可看到rtfobj.py文件。打开cmd，cd到oletools目录，使用命令 python rtfobj.p

VSCODE 调试oletools源码

lacoucou的专栏

08-20

270

1.oletools 安装 pip install oletools 2.vscode 安装官网下载安装并配置python调试环境 3.vscode 设置参考https://blog.youkuaiyun.com/zlb872551601/article/details/105354738 脚本： from oletools.olevba import VBA_Parser, TYPE_OLE, TYPE_OpenXML, TYPE_Word2003_XML, TYPE_MHTML vb.

centOS安装oletools查看vba代码

horizon_zpy的专栏

11-17

769

https://m.jb51.net/article/108938.htm安装python3 wget https://github.com/decalage2/oletools/releases/download/v0.53.1/oletools-0.53.1.tar.gz tar -zxvf oletools-0.53.1.tar.gz cd oletools-0.53.1 tar -zx...

python 离线部署 oletools

liuyanhong13的博客

08-28

662

python 离线部署 oletools 本文以 oletools 为例，记录如何在“老破小”的机器上离线部署一个python应用。 Why? 为什么要离线部署 yum/ apt-get 用起来多爽呀，pip 用起来多爽呀，干嘛要折腾离线部署当在一个生产环境很糟糕的情况下，yum, apt-get 可能都失效了， pip 远程拉取也失效了... 生活太艰难了 Python 离线部署准备 https://www.python.org/ 上选择合适的版本这里使用 https://..

文档宏病毒

weixin_43781139的博客

07-16

3695

文档类病毒介绍许多恶意代码都是通过文档进行传播。利用文档文件投放PE文件，再由PE文件执行恶意行为。一方面，结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识，提高攻击的成功率；另一方面，文档可以通过邮件进行传播，而邮件作为最常用的通信方式，对邮箱的攻击，更容易收集用户信息并实现内网渗透。下图是奇安信威胁情报中心在2018年全球高级持续性威胁研究总结报告中列出的部分组织鱼叉邮件攻击特点：可以看到采用诱导文档附件进行的钓鱼邮件攻击的方式最为普遍。掌握各类文档文件的分析技巧就变得极为重要，我们将

oletool 导出VBA宏编码报错解决

qq1010624的博客

06-07

328

在使用oletool 中的olevba.py解析VBA宏时，如果要导出至txt等文件时，由于默认为gbk编码则会报错，这是需要我们在cmd里将python 环境设置为utf-8.当我们运行其他的python脚本出现此报错也可以尝试此方法，随后在运行脚本，问题解决。

记录pip install rtfobj失败的辛酸经历

for_mat_的博客

02-24

459

走了很多弯路，不停报错直到看到这篇文章： https://blog.youkuaiyun.com/dengliang7440/article/details/101508145 先下好oletool压缩包，然后打开压缩包：看到那个install.bat批处理文件了吗？双击它之后pip install命令就可以正确执行了 ...