1、样本信息

  • 在网上下载样本,是一个word的宏病毒
名称 713-288-4192.doc
MD5 61F1A99292A199F867B168B76FC8CC74
SHA1 967DA912065D014C275463917D236836967B27CA
CRC32 A117A12E

2、分析工具准备

  • 在linux平台下安装
  • 安装依赖包
wget https://bitbucket.org/decalage/olefileio_pl/downloads/olefile-0.41.zip
  • 解压/安装
unzip oldfile-0.41.zipcd oldfile-0.41sudo python setup.py install
  • 下载oledump
wget http://didierstevens.com/files/software/oledump_V0_0_4.zip
  • oledump.py -h  可以查看帮助信息
  • 解压

3、分析样本

  • 在oldfile-0.41路径下打开终端,为了输入命令方便,我把文件名改成2.doc
python oledump.py 2.doc

  • 模块8处有一个M,说明该模块中有宏,以下命令查看宏脚本
python oledump.py -s 8 -v 2.doc
  • -s 段号:表示取出某一段查看内容,-v:加压缩VBS宏,这两个参数结合起来就可以查看宏源码

  • 也可以将源码保存到一个txt文件中,通过 > 命令
python oledump.py -s 8 -v 2.doc >1.txt
  • 接下来就可以对源码进行分析了

  • 查看word中的内容

PS.

  • 如果word中存在exe,那么可以通过解码得到十六进制数据
python oledump.py -s 15  -D decoder_ah.py 2.doc  | more

  • 之后再把数据导出来,保存为exe格式即可
python oledump.py -s 15  -D decoder_ah.py -d 2.doc  >1.exe

搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。

office 宏病毒分析相关推荐

  1. office病毒分析从0到1

    一.office文件格式 office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本. Office2007之前的版本为OLE复合格式:doc,dot,xls, ...

  2. 脚本病毒分析扫描专题1-VBA代码阅读扫盲、宏病毒分析

    1.Office Macor MS office宏的编程语言是Visual Basic For Applications(VBA). 微软在1994年发行的Excel5.0版本中,即具备了VBA的宏功 ...

  3. 暗刷2345流量宏病毒分析

    这个样本是好久之前分析的了,今天在整理文档的时候翻到了,正好发出来 该病毒运行后会利用iexplore.exe隐藏访问带有推广计费2345进行暗刷流量,并且还会感染其他Excel工作簿文件. 宏代码如 ...

  4. Office宏病毒Virus.MSExcel.Agent.f的查杀方法

    办法如下: 1.下载最新的360杀毒软件3.1.0.3073版安装: 2.打开360杀毒的右上角的设置按钮,将设置中"病毒扫描设置中需要扫描的文件类型,改为扫描所有文件":将&qu ...

  5. CobaltStrike 生成office宏病毒进行钓鱼攻击

    关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率.微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力.如完打开word文 ...

  6. CS制作office宏病毒钓鱼

    一.实验目的 1. 利用CobaltStrile生成word宏病毒的钓鱼payload,实现远程控制对方主机 二.实验器材 1.vmware 15.5 2.kali linux 3.cobaltstr ...

  7. 360杀毒4.0版Office宏病毒免疫体验

    现在,很多"办公族"喜欢到网上下载各种Word.Excel.PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带"Office宏病毒",一旦感染,电脑 ...

  8. Cobaltstrike Office宏病毒利用

    0x01 宏概述 宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当 ...

  9. OFFICE兼容性分析

    办公软件Office调查分析 一.省公司本部使用Office情况 版本 占用比例 备注 MS Office 2000 80% MS Office XP(2002) 3% MS Office 2003 ...

最新文章

  1. 2018 re:Invent回顾篇:前线开发者眼中AWS的创新版图
  2. 电子游戏现在已经在当处方药了
  3. 热烈欢迎乔丹入驻博客园
  4. mysql去重取最大值,逻辑类似oracle的over(partition by)函数
  5. 2007级计算机技术专科毕业设计,2007级计算机科学与技术本科毕业设计选题
  6. 公司更换了静态IP,说可以监控上网行为,真的可以做到吗?
  7. 7-3 DAG图优化-A (15 分)(更新版)
  8. python后台——asyncio,多进程+asyncio
  9. 7-8 统计工龄 (20 分)
  10. 你不知道的redis——主从复制,因为该命令redis作者曾摊上事
  11. iocomp iPlot使用说明13 Limits绘图界限
  12. kubernetes12(kubernetes的储存)
  13. 螺栓预紧力与拧紧力矩的计算方法
  14. win10执行压缩卷的注意点,否则出现磁盘空间不够的情况
  15. Qt Mainwindow添加/删除标题栏
  16. 机械革命蛟龙p一堆小问题
  17. mysql vacuum_PostgreSQL vacuum原理—vacuum揭秘
  18. Threejs使用LOD根据摄像机距离物体的距离显示不同的物体
  19. 滤波算法(四)—— 卡尔曼滤波算法
  20. spss统计软件分析学习笔记

热门文章

  1. 基于多传感器数据融合的全自动泊车系统研究与应用(文献综述)
  2. 程序员眼中的中国传统文化-王阳明《传习录》18
  3. python循环:打印小星星
  4. Google的通用翻译机能成为未来的巴别鱼吗?
  5. 经纬度坐标转换成px_highcharts的极值图,如何将经纬度转换成坐标?
  6. 北理工乐学 42. 五年级小学生的题目
  7. selenium实现163邮箱登录
  8. matlab 绘制可行域内的函数图像
  9. excel服务器文件只读,excel只读服务器
  10. 百度网盘直链下载助手 油猴脚本