一个热爱逆向，喜爱学习、分享的猿。

这篇分析DocumentSummaryInformation流，该流为可选流，保存文档的摘要信息。该流的位置同样通过目录定位，其名字为0005DocumentSummaryInformation（0005为16进制数），定位方法见复合文档格式的分析（http://blog.csdn.net/shadow20080578/article/details/50245309）。该流包含一个或多个属性

这篇分析SummaryInformation流，该流为可选流，保存文档的摘要信息。该流的位置同样通过目录定位，其名字为0005SummaryInformation（0005为16进制数），定位方法见复合文档格式的分析（http://blog.csdn.net/shadow20080578/article/details/50245309）。该流包含一个或多个属性组，每个属性组包含一个或多个属性

WordDocument流的偏移0处是一个 FIB（File Information Block）。FIBFIB包含文档信息和指向文档各个部分的指针。FIB由基础部分和扩展的节（section）组成，基础部分的长度固定，节的数量和长度可变，每一个节包含一个count域指明下一个节的长度。                                  

本文是研究DOC文件格式的第一部分。office中的doc等文件在外层都遵循复合文档格式，而真正的doc内容主要是（也有其它流和仓库）作为复合文档的一个名字为“WordDocument”的流而存在。下面为转载的文章正文，讲解复合文档格式。根据下面的讲解，可以在doc文件中找到名字为“WordDocument”的目录，从而找到“WordDocument”流。关于“WordDocument”流的分析，稍后见另一篇文章。

使用16进制编辑器，在PE文件种定位到导入表的过程。

rtf内嵌对象分析提取工具rtfobj是oletools的一部分oletools各个版本下载地址https://bitbucket.org/decalage/oletools/downloads/下载后解压，需要安装python环境，解压后：进入oletools目录即可看到rtfobj.py文件。打开cmd，cd到oletools目录，使用命令python rtfobj.p