参考:
(1)工具篇:如何分析恶意文档【http://www [。]4hou.com/technology/2634 [] html】
(2)奥立文档分析工具之oletools介绍
【http://ahageek []com/blog/oletools-introduce/俊?br/> (3) github oletools
【https://github []com/decalage2/oletools】。
(4)垃圾邮件分析实例
【http://blog [,] 51 cto []com/skytina/2051426】。
(5)恶意邮件里的医生文件解析
【http://www [,] freebuf []com/articles/82814.html】。
(6) oledump.py使用
【https://blog [,] didierstevens []com/2014/12/17/introducing-oledump-py/俊?br/>(7)工具集
【http://www [,] malware-analyzer []com/document-analysis-tools】。
(8) officeMalScan使用
【https://www [,] aldeid []com/wiki/OfficeMalScanner/OfficeMalScanner】。
使用python环境,
部分工具需要使用python2的版本,所以我本机装了python2.7和python3.5版本
在python2.7的安装目录将python.exe改为python2.exe,并将路径写入环境变量,这样就可以完成切换,别忘了安装pip【https://pypi [,] python。]org/pypi/pip】
安装pip失败
再安装pip成功
同理我们将pip.exe改为pip2。exe并写入环境变量
修改后的两个文件名
-
<李>使用快捷键ALT +到或在菜单工具栏,点击宏,编辑宏
李>
2。使用oledump
安装模块olefile
pip安装olefile
使用s选项选择模块,查看数据,我这里选择第7个
则oledump - s 7文件名
文件需要用正确的文件后缀,要不然看不到数据....我也服了
使用- h查看帮助文档
4。使用oletools
下载安装
在目录下的工具,使用olevbapy
- c:只显示词中的宏代码
——:自动分析字是否可疑