1、样本信息

在网上下载样本，是一个word的宏病毒

2、分析工具准备

在linux平台下安装安装依赖包

wget/decalage/olefileio_pl/downloads/olefile-0.41.zip

解压/安装

unzip oldfile-0.41.zipcd oldfile-0.41sudo python setup.py install

下载oledump

wget /files/software/oledump_V0_0_4.zip

oledump.py -h 可以查看帮助信息解压

3、分析样本

在oldfile-0.41路径下打开终端,为了输入命令方便，我把文件名改成2.doc

python oledump.py 2.doc

模块8处有一个M，说明该模块中有宏，以下命令查看宏脚本

python oledump.py -s 8 -v 2.doc

-s 段号：表示取出某一段查看内容，-v：加压缩VBS宏，这两个参数结合起来就可以查看宏源码也可以将源码保存到一个txt文件中，通过 > 命令

python oledump.py -s 8 -v 2.doc >1.txt

接下来就可以对源码进行分析了查看word中的内容

PS.

如果word中存在exe，那么可以通过解码得到十六进制数据

python oledump.py -s 15 -D decoder_ah.py 2.doc | more

之后再把数据导出来，保存为exe格式即可

python oledump.py -s 15 -D decoder_ah.py -d 2.doc >1.exe

搜索关注公众号[逆向小生]，不定期更新逆向工程师需要掌握的技能，包括Windows和Android方面的逆向，还有作为一个逆向工程师的思维模式。