参考:
(1)工具篇:如何分析恶意文档【http://www[.]4hou.com/technology/2634[.]html】
(2)OLE文档分析工具之oletools介绍
【http://ahageek[.]com/blog/oletools-introduce/】
(3)github oletools
【https://github[.]com/decalage2/oletools】
(4)垃圾邮件分析实例
【http://blog[.]51cto[.]com/skytina/2051426】
(5)恶意邮件里的doc文件解析
【http://www[.]freebuf[.]com/articles/82814.html】
(6)oledump.py使用
【https://blog[.]didierstevens[.]com/2014/12/17/introducing-oledump-py/】
(7)工具集
【http://www[.]malware-analyzer[.]com/document-analysis-tools】
(8)officeMalScan使用
【https://www[.]aldeid[.]com/wiki/OfficeMalScanner/OfficeMalScanner】

使用python环境,
部分工具需要使用python2的版本,所以我本机装了python2.7和python3.5版本
在python2.7的安装目录将python.exe改为python2.exe,并将路径写入环境变量,这样就可以完成切换,别忘了安装pip【https://pypi[.]python[.]org/pypi/pip】
office宏分析_第1张图片

安装pip失败
office宏分析_第2张图片
安装settools【https://pypi[.]python[.]org/pypi/setuptools】
office宏分析_第3张图片
office宏分析_第4张图片
office宏分析_第5张图片

再安装pip成功
office宏分析_第6张图片

同理我们将pip.exe改为pip2.exe并写入环境变量
office宏分析_第7张图片

office宏分析_第8张图片

修改后的两个文件名
office宏分析

  1. 使用快捷键 ALT+F11 或在菜单工具栏,点击宏,编辑宏
    office宏分析_第9张图片

2.使用oledump

安装模块olefile
pip install olefile
office宏分析_第10张图片
下载oledump
office宏分析_第11张图片
使用oledump
office宏分析_第12张图片

使用-s选项选择模块,查看数据,我这里选择第7个
则oledump -s 7 filename
文件需要用正确的文件后缀,要不然看不到数据。。。。我也服了
office宏分析_第13张图片
使用-v转换对应模块为vbs文档
office宏分析_第14张图片
具体宏功能就不看了。
office宏分析_第15张图片
还有很多功能请使用-h查看学习
3.使用officeMalscanner.exe查看宏
office宏分析_第16张图片

使用-h查看帮助文档
office宏分析_第17张图片
office要xml格式才能解析。。。。,先暂停使用。
记住使用inflate解压 info提取宏就可以了。。。。
office宏分析_第18张图片

4.使用oletools
下载安装
office宏分析_第19张图片

在目录tools下,使用olevbapy
-c: 只显示word中的宏代码
-a: 自动分析word是否可疑
office宏分析_第20张图片
oletools还有很多可用的,。。。自己到目录下查看吧
office宏分析_第21张图片

样本:
(1)SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a
(2)md5: 370751889f591000daa40c400d0611f2
(3)WIN_019_11.doc, SHA256 6780af202bf7534fd7fcfc37aa57e5a998e188ca7d65e22c0ea658 c73fad36a2
(4)WIN_019_11.doc, SHA256 f36cb4c31ee6cbce90b5d879cd2a97bcfe23a38d37365196c25e 6ff6a9f8aaa6

感谢同事的分享,学习啦