一、分析工具:oledump.py
二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a
三、分析步骤
1.查看宏
命令:python3 old_sample/oledump.py
ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a
大写字母“M”表示宏代码的位置,M左侧对应的字符为索引
2.提取恶意宏代码
命令:python3 old_sample/oledump.py -s 8 -v ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a
3.将恶意代码导入txt文件中
命令:python3 old_sample/oledump.py -s 8 -v ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a>ef_malware.txt
4.分析恶意代码
4.1.打开导出的txt文件,通过观察发现有以下几种混淆字符
(1)_OACZT_20210214_115603_xokkn_
(2)xokkn</