文档解析
ShandyLZS
Deutsch Lernerin
展开
-
恶意Office文档解析——1. Office文档格式解析
写在前面:这是我最近在做的一个小课题,按照研究进度不定期更新。主要是学习前人的研究思路,自己开发的内容会比较少。复合文档的概念复合文档不仅包含文本,而且包括图形、电子数据表格、声音、视频等其他信息。使用面向对象技术,将非标准信息(如图像、声音)作为独立的、自包含式对象包含在文档中。符合文档将数据分成许多流(Steams),流存储在不同的Storages里。符合文档采用NTFS(NT Fil...原创 2019-06-22 13:04:17 · 2663 阅读 · 0 评论 -
恶意Office文档解析——2. 恶意Office文档工作原理与常见Office文档中VBA代码的混淆形式
恶意Office文档工作原理Office恶意文档主要通过嵌入文件的形式触发攻击,文件嵌套方式主要有两种:一种是在Office 2007 PK包中嵌入文档;另一种是将攻击文件包装成Rtf富文本格式,再将嵌入文件插入Rtf的/objdata流中。恶意代码可能经过多级嵌套,常见的攻击形式有:恶意代码实现在本地创建恶意应用程序;跳转至URL下载恶意程序;恶意代码本身包含恶意程序等。常见Off...原创 2019-07-14 21:30:30 · 944 阅读 · 0 评论 -
恶意Office文档解析——3.恶意文档检测开源工具
oletoolsOfficeMalScannerViperMonkey原创 2019-07-14 21:53:31 · 1273 阅读 · 0 评论 -
恶意Office文档解析——4. 针对某些混淆的静态鉴别的正则表达式
针对字符串操作函数常见的针对字符串操作函数,如:substr, substring,unescape,fromcharcode, replace,split 等,常常作为VBA代码对自身解混淆的函数名。因此检测到上述表达式及其变体,就表明VBA代码中可能存在字符串混淆操作。设定正则表达式为提取相邻的最近的上述字母字段,可以有效抓取上述单词及其混淆变体。如:ivtVIlEvRolqQN...原创 2019-07-14 22:12:35 · 353 阅读 · 0 评论