office宏分析

參考：
（1）工具篇：如何分析惡意文檔【http://www[.]4hou.com/technology/2634[.]html】
（2）OLE文檔分析工具之oletools介紹
【http://ahageek[.]com/blog/oletools-introduce/】
（3）github oletools
【https://github[.]com/decalage2/oletools】
（4）垃圾郵件分析實例
【http://blog[.]51cto[.]com/skytina/2051426】
（5）惡意郵件里的doc文件解析
【http://www[.]freebuf[.]com/articles/82814.html】
（6）oledump.py使用
【https://blog[.]didierstevens[.]com/2014/12/17/introducing-oledump-py/】
（7）工具集
【http://www[.]malware-analyzer[.]com/document-analysis-tools】
（8）officeMalScan使用
【https://www[.]aldeid[.]com/wiki/OfficeMalScanner/OfficeMalScanner】

使用python環(huán)境，
部分工具需要使用python2的版本，所以我本機裝了python2.7和python3.5版本
在python2.7的安裝目錄將python.exe改為python2.exe,并將路徑寫入環(huán)境變量，這樣就可以完成切換，別忘了安裝pip【https://pypi[.]python[.]org/pypi/pip】

安裝pip失敗

安裝settools【https://pypi[.]python[.]org/pypi/setuptools】

再安裝pip成功

同理我們將pip.exe改為pip2.exe并寫入環(huán)境變量

修改后的兩個文件名

1. 使用快捷鍵 ALT+F11 或在菜單工具欄，點擊宏，編輯宏
   

2.使用oledump

安裝模塊olefile
pip install olefile

下載oledump

使用oledump

使用-s選項選擇模塊，查看數(shù)據(jù)，我這里選擇第7個
則oledump -s 7 filename
文件需要用正確的文件后綴，要不然看不到數(shù)據(jù)。。。。我也服了

使用-v轉(zhuǎn)換對應(yīng)模塊為vbs文檔

具體宏功能就不看了。

還有很多功能請使用-h查看學(xué)習(xí)
3.使用officeMalscanner.exe查看宏

使用-h查看幫助文檔

office要xml格式才能解析。。。。，先暫停使用。
記住使用inflate解壓 info提取宏就可以了。。。。

4.使用oletools
下載安裝

在目錄tools下，使用olevbapy
-c: 只顯示word中的宏代碼
-a: 自動分析word是否可疑

oletools還有很多可用的，。。。自己到目錄下查看吧

樣本：
（1）SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a
（2）md5: 370751889f591000daa40c400d0611f2
（3）WIN_019_11.doc, SHA256 6780af202bf7534fd7fcfc37aa57e5a998e188ca7d65e22c0ea658 c73fad36a2
（4）WIN_019_11.doc, SHA256 f36cb4c31ee6cbce90b5d879cd2a97bcfe23a38d37365196c25e 6ff6a9f8aaa6

感謝同事的分享，學(xué)習(xí)啦