[翻译]oledump: Extracting Embedded EXE From DOC

最新推荐文章于 2024-04-03 11:49:28 发布
最新推荐文章于 2024-04-03 11:49:28 发布
阅读量177 收藏
点赞数
分类专栏: windows 工具 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82612143
版权
原文地址:[url]http://blog.didierstevens.com/2014/12/23/oledump-extracting-embedded-exe-from-doc/[/url]
RECHNUNG_vom_18122014.doc[url]https://www.virustotal.com/en/file/d3672a6b3bc839d76b1d4c2e98ab8c3ef84cb9e928fc3cadad3f4144aa5f8e29/analysis/[/url]是一个含有恶意VBA宏用来提取创建一个exe的word文档。本文主要用来介绍oledump如何工作
首先看一下数据流(我把word文档使用密码加密zip,用来绕过AV,oledump可以处理这类文件)
[img]http://dl2.iteye.com/upload/attachment/0104/8983/1062a437-26c4-34ca-ae4e-f96ae556df03.png[/img]
Stream 7含有VBA宏,来查看一下:
[img]http://dl2.iteye.com/upload/attachment/0104/8985/546a851b-0198-30aa-8708-bd29afdcc31a.png[/img]
当文档打开的时候,Subroutine v45自动执行。它会创建一个临时文件,搜索word文件中ActiveDocument.Range.Text里面的"1234",然后把1234后面的加密bytes写到磁盘,然后执行。
如果查看stream 14来检查内容,将会看到:
[img]http://dl2.iteye.com/upload/attachment/0104/8987/3c07268d-b718-3688-9a9b-d6485a461a47.png[/img]
1234后面将会看到&H4d&H5a&h90…
&Hxx是VBA中十六进制的语法。我们可以使用解码器进行转换。解码器(python)使用正则搜索&Hxx,把xx转换成字符把他们连接成字符串。 
#!/usr/bin/env python

__description__ = '&H decoder for oledump.py'
__author__ = 'Didier Stevens'
__version__ = '0.0.1'
__date__ = '2014/12/19'

"""

Source code put in public domain by Didier Stevens, no Copyright

https://DidierStevens.com

Use at your own risk

History:
  2014/12/19: start

Todo:
"""

import re

class cAmpersandHexDecoder(cDecoderParent):
    name = '&H decoder'

    def __init__(self, stream, options):
        self.stream = stream
        self.options = options
        self.done = False

    def Available(self):
        return not self.done

    def Decode(self):
        decoded = ''.join([chr(int(s[2:], 16)) for s in re.compile('&H[0-9a-f]{2}', re.IGNORECASE).findall(self.stream)])
        self.name = '&H decoder'
        self.done = True
        return decoded

    def Name(self):
        return self.name

AddDecoder(cAmpersandHexDecoder)

使用下面的命令来调用解码器分析嵌入的文件:
[color=blue][quote]oledump.py -s 14 -D decoder_ah.py RECHNUNG_vom_18122014.doc.zip[/quote][/color]
[img]http://dl2.iteye.com/upload/attachment/0104/8990/b4377c54-48e2-3190-a369-a71aae0a7b13.png[/img]
根据MZ和PE头,可以识别它是一个PE文件,我们可以使用pecheck来检查
[color=blue][quote]oledump.py -s 14 -D decoder_ah.py -d RECHNUNG_vom_18122014.doc.zip | pecheck.py[/quote][/color]

[img]http://dl2.iteye.com/upload/attachment/0104/8993/d582d9fb-2204-3a5b-a8cb-fc808ca1b2fb.png[/img]
[img]http://dl2.iteye.com/upload/attachment/0104/8995/805065bd-7776-3dfb-b69a-15c67edfb7c5.png[/img]

pecheck介绍:[url]http://blog.didierstevens.com/2013/04/19/3462/[/url]
下载地址:[url]http://didierstevens.com/files/software/pecheck_v0_3_0.zip[/url]
iteye_16188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sparse Representation of Brain Aging: Extracting Covariance Patterns from Structural MRI
02-21
Sparse Representation of Brain Aging: Extracting Covariance Patterns from Structural MRI
【无标题】
qq_40945805的博客
11-26 5512
宏病毒X97M/Laroux.gen!D分析报告 一、报告背景: 最近,公司同事发现自己的Excel文档不能正常保存到本地,保存会提示保存失败。并且,有同事发现这个文档被微软的安全检测判定含有宏病毒,遂把该样本文件保存下来并展开分析。 二、病毒样本判断: (一)微步云沙箱平台分析: 该样本未包含敏感数据,使用微步云沙箱对样本分析,结果如下: (二)火绒分析: 经过两个安全平台的检测,证明这个样本文件确实存在宏病毒Laroux。该病毒通过将其代码附加到 PC 或网络上的其他.
宏病毒刨析
sxr__nc的博客
12-09 543
拿到宏病毒之后,先使用oledump.py工具进行宏数据流得查看: 通过查看数据流可以发现,在第八段和第九段有宏代码,同时需要注意在第十二的数据虽然没有宏代码 ,但是第12段数据大小却是很可疑需要注意一下,同时也可以将第八段和第九段以及第十二段 这三段数据dump出来 进行查看。这里采用宏病毒动态调试的方式: 打开文件之后,存在安全警告: 这个时候,可以使用快捷键 打开并且查看宏代码(a...
oledump-py office ole dump
weixin_34279579的博客
05-19 520
http://blog.didierstevens.com/programs/oledump-py/ ...
宏病毒的研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到的宏代码如下: Attribute VB_Name = "Module1" Sub Auto_Open...
office宏分析
weixin_34029949的博客
12-20 878
参考:(1)工具篇:如何分析恶意文档【http://www[.]4hou.com/technology/2634[.]html】(2)OLE文档分析工具之oletools介绍【http://ahageek[.]com/blog/oletools-introduce/】(3)github oletools【https://github[.]com/decalage2/oletools】(4)垃圾邮件...
MACBSE: Extracting signals with linear autocorrelations
02-20
MACBSE: Extracting signals with linear autocorrelations
BankCard-Recognizer:Extracting numbers from bankcard, based on Deep Learning. 基于深度学习的银行卡号识别与定位系统
05-19
银行卡识别器 基于Keras的深度学习,从银行卡中提取数字。 包括自动和手动位置,带有GUI的号码识别。 中文博客: 路线图 cnn_blstm_ctc EAST /手动定位 图形用户界面 ... pip install requirements ...
Extracting Product Features from Chinese Product Reviews
02-09
Review mining has recently received a lot of attention, which aims to discover the valuable information from the massive product reviews. Product feature extraction is one of the basic tasks of ...
Paper: Denoising and extracting background
01-30
Denoising and extracting background. The paper proposes a 2D generalization to the midpoint-based empirical mode decomposition algorithm (MBEMD).
恶意勒索Word文档模版注入分析
最新发布
黑剑
04-03 1056
此次是简单的分析过程,主要用于困难环境下使用手动进行分析,在根据实际情况对相关的文档进行恶意分析!那么在智能沙箱的情况下,几乎这些手动的行为都被忽略了,所以会一些手动技巧也是巩固自身的知识,不依赖沙箱等情况!
通过Oledump.py获取OFFICE文件中的宏代码
VI___
04-14 2694
首先用oledump.py查看一下基本信息,记住M所在的行的数字,这里为7、9 输入如下命令查看对应的宏代码 当然可以重定向到文件中方便查看 如下即可得到源码 ...
office 宏病毒分析
CMC_HHM的博客
03-25 1986
1、样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备 在linux平台下安装 安装依赖包 wget...
简单宏病毒研究
richard1230的博客
03-13 3582
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...
宏文件恶意代码分析
baoyahong的博客
10-16 694
一、分析工具:oledump.py 二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a 三、分析步骤 1.查看宏 命令:python3 old_sample/oledump.py ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a 结果出现大写字母“M”的表示宏代码的位置,“8”为索引 2.提取恶意宏代码 命令:python3
宏病毒的研究与实例分析01——基础篇
鬼手的博客
03-10 9933
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
一例Trickbot家族js下载器的分析
好好学习,天天向上
12-10 476
这是一个宏病毒,内嵌了一个jse脚本,是一个PE下载器,分析重点是去混沌,第一次分析宏病毒,学到了不少东西。
宏病毒研究——实战研究篇
dfdhxb995397的博客
03-27 1033
本文作者:i春秋作家——icq5f7a075d 宏病毒专辑:https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3.宏病毒实例分析 3.1实例1 接下来,我将以demo2.doc为例,实例分析宏病毒,demo2是一个真实的宏病毒,请在虚拟机中分析。 打开demo...
extracting training data from diffusion models
09-16
从扩散模型中提取训练数据是指从已有的扩散模型中提取出用于训练机器学习模型的数据集的过程。 扩散模型是一种模拟现实中扩散现象的数学模型,例如在金融学中用于模拟股票价格的变动,或者在生物学中用于模拟物质在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值