office 宏病毒分析

1、样本信息

• 在网上下载样本，是一个word的宏病毒

名称	713-288-4192.doc
MD5	61F1A99292A199F867B168B76FC8CC74
SHA1	967DA912065D014C275463917D236836967B27CA
CRC32	A117A12E

2、分析工具准备

• 在linux平台下安装
• 安装依赖包

wget https://bitbucket.org/decalage/olefileio_pl/downloads/olefile-0.41.zip

• 解压/安装

unzip oldfile-0.41.zip

cd oldfile-0.41

sudo python setup.py install

• 下载oledump

wget http://didierstevens.com/files/software/oledump_V0_0_4.zip

• oledump.py -h  可以查看帮助信息
• 解压

3、分析样本

• 在oldfile-0.41路径下打开终端,为了输入命令方便，我把文件名改成2.doc

python oledump.py 2.doc

• 模块8处有一个M，说明该模块中有宏，以下命令查看宏脚本

python oledump.py -s 8 -v 2.doc

• -s 段号：表示取出某一段查看内容，-v：加压缩VBS宏，这两个参数结合起来就可以查看宏源码

• 也可以将源码保存到一个txt文件中，通过 > 命令

python oledump.py -s 8 -v 2.doc >1.txt

• 接下来就可以对源码进行分析了

• 查看word中的内容

PS.

• 如果word中存在exe，那么可以通过解码得到十六进制数据

python oledump.py -s 15  -D decoder_ah.py 2.doc  | more

• 之后再把数据导出来，保存为exe格式即可

python oledump.py -s 15  -D decoder_ah.py -d 2.doc  >1.exe

 

搜索关注公众号[逆向小生]，不定期更新逆向工程师需要掌握的技能，包括Windows和Android方面的逆向，还有作为一个逆向工程师的思维模式。