办公室宏分析

  

参考:
(1)工具篇:如何分析恶意文档【http://www [。]4hou.com/technology/2634 [] html】
(2)奥立文档分析工具之oletools介绍
【http://ahageek []com/blog/oletools-introduce/俊?br/> (3) github oletools
【https://github []com/decalage2/oletools】。
(4)垃圾邮件分析实例
【http://blog [,] 51 cto []com/skytina/2051426】。
(5)恶意邮件里的医生文件解析
【http://www [,] freebuf []com/articles/82814.html】。
(6) oledump.py使用
【https://blog [,] didierstevens []com/2014/12/17/introducing-oledump-py/俊?br/>(7)工具集
【http://www [,] malware-analyzer []com/document-analysis-tools】。
(8) officeMalScan使用
【https://www [,] aldeid []com/wiki/OfficeMalScanner/OfficeMalScanner】。

  

使用python环境,
部分工具需要使用python2的版本,所以我本机装了python2.7和python3.5版本
在python2.7的安装目录将python.exe改为python2.exe,并将路径写入环境变量,这样就可以完成切换,别忘了安装pip【https://pypi [,] python。]org/pypi/pip】
办公室宏分析

  

安装pip失败
办公室宏分析“> <br/>安装settools【https://pypi [,] python。]org/pypi/setuptools】<br/> <img src=

  

再安装pip成功
办公室宏分析

  

同理我们将pip.exe改为pip2。exe并写入环境变量
办公室宏分析

  

办公室宏分析

  

修改后的两个文件名
办公室宏分析

  <人力资源/>   
      <李>使用快捷键ALT +到或在菜单工具栏,点击宏,编辑宏
    办公室宏分析   
  

2。使用oledump

  

安装模块olefile
pip安装olefile
办公室宏分析“> <br/>下载oledump <br/> <img src=

  

使用s选项选择模块,查看数据,我这里选择第7个
则oledump - s 7文件名
文件需要用正确的文件后缀,要不然看不到数据....我也服了
办公室宏分析“> <br/>使用- v转换对应模块为根据文档<br/> <img src=

  

使用- h查看帮助文档
办公室宏分析“> <br/>办公室要xml格式才能解析....,先暂停使用。<br/>记住使用膨胀解压信息提取宏就可以了.... <br/> <img src=

  

4。使用oletools
下载安装
办公室宏分析

  

在目录下的工具,使用olevbapy
- c:只显示词中的宏代码
——:自动分析字是否可疑
办公室宏分析“> <br/> oletools还有很多可用的,……自己到目录下查看吧<br/> <img src=

办公室宏分析