信息安全 | 利用oletools-python分析恶意文档样本

最新推荐文章于 2025-03-29 09:21:13 发布
最新推荐文章于 2025-03-29 09:21:13 发布
阅读量3.9k 收藏 11
点赞数 1
分类专栏: 信息安全 文章标签: 信息安全 网络安全 python windows 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60574457/article/details/119279798
版权

前言

通过学习oletools-python后,能够对恶意文档样本进行基础的分析工作。

什么是oletools-python

oletools-python工具,用于分析MS OLE2文件(结构化存储,复合文件二进制格式)和MS Office文档,以进行恶意软件分析,取证和调试。

下载安装

  • Linux、Mac:sudo -H pip install -U oletools
  • Windows:pip install -U oletools

官网链接:https://pypi.org/project/oletools/

工具模块

分析恶意样本文件的工具

oleid:分析OLE文件以检测通常在恶意文件中发现的特定特征。
olevba:从MS Office文档(OLE和OpenXML)中提取和分析VBA Macro源代码。
MacroRaptor:检测恶意的VBA宏
msodde:检测并从MS Office文档,RTF和CSV中提取DDE / DDEAUTO链接
pyxswf:检测,提取和分析可能嵌入在MS Office文档(例如Word,Excel)和RTF等文件中的Flash对象(SWF),这对于恶意软件分析特别有用。
oleobj:从OLE文件中提取嵌入式对象。
rtfobj:从RTF文件中提取嵌入式对象。

分析OLE文件结构的工具

olebrowse:一个简单的GUI,可浏览OLE文件(例如MS Word,Excel,Powerpoint文档),以查看和提取单个数据流。
olemeta:从OLE文件中提取所有标准属性(元数据)。
oletimes:提取所有流和存储的创建和修改时间戳。
oledir:显示OLE文件的所有目录条目,包括空闲和孤立的条目。
olemap:显示OLE文件中所有扇区的映射。

应用例子

  • 判断样本是否包含可疑的宏(宏病毒)
python mraptor.py file.docx

输出内容:

MacroRaptor 0.51 - http://decalage.info/python/oletools
This is work in progress, please report issues at https://github.com/decalage2/oletools/issues
----------+-----+----+--------------------------------------------------------
Result    |Flags|Type|File
----------+-----+----+--------------------------------------------------------
Macro OK  |---  |TXT |log.docx

Flags: A=AutoExec, W=Write, X=Execute
Exit code: 2 - Macro OK

mraptor通过启发式方法检测大多数恶意VBA宏,不同于杀毒引擎检测特征码。当发现文档自动执行触发器和写入文件系统或内存操作,或执行VBA上下文等操作时会判断为恶意宏。

  • 获取样本中所有流和存储的创建和修改时间
python oletimes.py file.doc
最低0.47元/天 解锁文章
分析office宏病毒工具
墨痕诉清风的博客
01-15 647
oletools是一个python工具包,用于分析Microsoft OLE 2文件(也称为结构化存储,复合文件二进制格式或复合文档文件格式),如Microsoft Office 97-2003文档,MSI文件或Outlook消息,主要用于恶意软件分析,取证和调试。它基于olefile解析器。它还提供了工具来分析RTF文件和基于OpenXML格式(又名OOXML)的文件,如MS Office 2007+文档,XPS或MSIX文件。
[04]恶意文档分析-工具篇-OleTools(一)
lwwzyy
12-05 1251
恶意文档分析,一学就会!
python 离线部署 oletools
liuyanhong13的博客
08-28 627
python 离线部署 oletools 本文以 oletools 为例,记录如何在“老破小”的机器上离线部署一个python应用。 Why? 为什么要离线部署 yum/ apt-get 用起来多爽呀,pip 用起来多爽呀,干嘛要折腾离线部署 当在一个生产环境很糟糕的情况下,yum, apt-get 可能都失效了, pip 远程拉取也失效了... 生活太艰难了 Python 离线部署 准备 https://www.python.org/ 上选择合适的版本 这里使用 https://..
开源项目oletools的安装与使用教程
最新发布
gitblog_01186的博客
03-29 399
开源项目oletools的安装与使用教程 oletools oletools - python tools to analyze MS OLE2 files (Structured Storage, Compound File Binary Format) and MS Office documents, for mal...
oletoolsoletools-用于分析MS OLE2文件(结构化存储,复合文件二进制格式)和MS Office文档python工具,用于恶意软件分析,取证和调试
02-05
python-oletoolspython工具包,用于分析(也称为结构化存储,复合文件二进制格式或复合文档文件格式),例如Microsoft Office文档或Outlook邮件,主要用于恶意软件分析,取证和调试。 它基于解析器。 有关更多信息,请参见 。 快速链接:----- 注意:python-oletools与BeCubed Software发布的OLETools不相关。 新闻 2020-09-28 v0.56 : olevba / mraptor: 添加了对触发器_OnConnecting的检测 olevba: 将plugin_biff更新为v0.0.17,以改进Excel
oletools下载安装及rtfobj使用
一个热爱逆向,喜爱学习、分享的猿。
04-14 3826
rtf内嵌对象分析提取工具rtfobj是oletools的一部分 oletools各个版本下载地址https://bitbucket.org/decalage/oletools/downloads/ 下载后解压,需要安装python环境,解压后: 进入oletools目录即可看到rtfobj.py文件。 打开cmd,cd到oletools目录,使用命令 python rtfobj.p
恶意文档分析技巧及工具快速参考(Cheat Sheet)
豆子的collection
08-28 1486
原文网址:http://www.pulog.org/Resources/1299/MD-Cheat-Sheet/     这份快速参考概要的给出了逆向分析恶意文档这些文档(包括:微软office(DOC,XLS,PPT)和Adobe Acrobat的PDF文件)的一些技巧和工具。 译者:wpulog 基本途径/方法:      1. 找到潜在的被嵌入的恶意代码,
PDF恶意文档分析
weixin_34292924的博客
11-21 266
最近遇到很多PDF文件的分析,没接触过,问过一些朋友后,整理了几个工具和指引,慢慢学习吧。 这里主要还是pdf文件的js代码提取。 (1)使用PDF Stream Dumper 下载地址:http://sandsprite.com/blogs/index.php?uid=7&pid=57 实例下载:http://1024eye.com/getalert.d...
oletools-rtfobj
08-01
rtf文档提取object对象数据,oletools集合多个插件,帮助安全人员高效提取数据。快速分析常见钓鱼文档,rtf格式的解析信息输出。
网络安全-CTF取证方法大汇总,建议收藏!
Coisini的博客
05-30 7169
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证 在CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的...
CVE-2012-0158:Microsoft Office MSCOMCTL.ocx 栈溢出漏洞调试分析
墨鱼菜鸡
02-18 213
0x01 Lotus Blossom 行动 在 2015 年 6 月,国外安全厂商 Palo Alto Networks 的威胁情...
Python实现导出Word文档中的所有图片、嵌入的文件
06-15
具体使用方法,实现过程参考我的相关博客:Python 批量导出word文档中的图片、嵌入式文件
VSCODE 调试oletools源码
lacoucou的专栏
08-20 237
1.oletools 安装 pip install oletools 2.vscode 安装 官网下载安装并配置python调试环境 3.vscode 设置 参考https://blog.csdn.net/zlb872551601/article/details/105354738 脚本: from oletools.olevba import VBA_Parser, TYPE_OLE, TYPE_OpenXML, TYPE_Word2003_XML, TYPE_MHTML vb.
centOS安装oletools查看vba代码
horizon_zpy的专栏
11-17 756
https://m.jb51.net/article/108938.htm安装python3 wget https://github.com/decalage2/oletools/releases/download/v0.53.1/oletools-0.53.1.tar.gz tar -zxvf oletools-0.53.1.tar.gz cd oletools-0.53.1 tar -zx...
python学习(6)—— python-tools
weixin_43763724的博客
03-23 1309
01-python-tools # 使用 whos 查看当前的变量空间: a = 3 b = list([1,2,3,4,5]) %whos Variable Type Data/Info ---------------------------- a int 3 b list n=5 # 使用 reset 重置当前变量空间: %res...
OLE工具套件分析OFFICE宏恶意样本
weixin_30765319的博客
11-20 1177
零、绪论:OLE工具套件的介绍 OLE工具套件是一款针对OFFICE文档开发的具有强大分析功能一组工具集。这里主要介绍基于Python2.7的OLEtools的安装和使用。 (1)Python版本需求:2.7.9 及以上 (2)安装方法:pip install -U https://github.com/decalage2/oletools/archive/master.zip (3)使用...
Python】导出docx格式Word文档中的文本、图片和附件等
有知识,世界会更大
06-02 7396
使用Python批量提取Word文档中的图片和插入的附件,给出代码,更给出代码如何写出的过程。
记一次宏病毒分析
Boom!脑洞大爆炸的博客
06-18 927
记一次宏病毒分析
感染型宏病毒原理
yellow的博客
07-11 1237
宏病毒感染原理
python-oletools:深入分析MS OLE2及Office文档恶意软件检测工具
oletools 包含的关键词如 "python", "security", "parser", "python-library", "macros", "rtf", "forensics", "vba", "compound", "malware-analysis", "pyparsing", 和 "olefile",都指向了其作为安全分析、文本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值