检测office的恶意vba脚本(宏病毒)——mraptor
mraptor 是 oletools 工具集中的一个,用于 扫描一个文件中是否存在可疑的 vba 脚本,也就是宏病毒。
在进入代码之前,我们先来看下mraptor的简单使用
mraptor的使用
这里只演示扫描单个文件,mraptor 还可以遍历检测 文件夹啊和压缩包
[root@master ~]# mraptor 1.doc
MacroRaptor 0.55 - http://decalage.info/python/oletools
This is work in progress, please report issues at https://github.com/decalage2/oletools/issues
----------+-----+----+--------------------------------------------------------
Result |Flags|Type|File
----------+-----+----+--------------------------------------------------------
SUSPICIOUS|A-X |OLE:|1.doc
Flags: A=AutoExec, W=Write, X=Execute
Exit code: 20 - SUSPICIOUS
恶意macros如何判断
在看完简单的使用之后,我们开始进入代码,看