1、样本信息
在网上下载样本,是一个word的宏病毒2、分析工具准备
在linux平台下安装安装依赖包wget/decalage/olefileio_pl/downloads/olefile-0.41.zip
解压/安装
unzip oldfile-0.41.zipcd oldfile-0.41sudo python setup.py install
下载oledump
wget /files/software/oledump_V0_0_4.zip
oledump.py -h 可以查看帮助信息解压
3、分析样本
在oldfile-0.41路径下打开终端,为了输入命令方便,我把文件名改成2.docpython oledump.py 2.doc
模块8处有一个M,说明该模块中有宏,以下命令查看宏脚本
python oledump.py -s 8 -v 2.doc
-s 段号:表示取出某一段查看内容,-v:加压缩VBS宏,这两个参数结合起来就可以查看宏源码也可以将源码保存到一个txt文件中,通过 > 命令
python oledump.py -s 8 -v 2.doc >1.txt
接下来就可以对源码进行分析了查看word中的内容
PS.
如果word中存在exe,那么可以通过解码得到十六进制数据
python oledump.py -s 15 -D decoder_ah.py 2.doc | more
之后再把数据导出来,保存为exe格式即可
python oledump.py -s 15 -D decoder_ah.py -d 2.doc >1.exe
搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。