分析钓鱼邮件搭载的Excel 4.0恶意宏

本文为看雪论坛优秀文章看雪论坛作者ID：jishuzhain简介工欲善其事必先利其器，首先既然遇到的是宏病毒文件，所以本地得装好office，本文使用的环境为office2016，之后打开Excel。咋和平时看到的Excel表格不一样？如果不嫌麻烦ocr一下图片里显示的意思大概是说得启用宏后才能查看到图片内容，本质就是诱惑用户来启用宏，所以文档存在宏代码的话一启动就被提示需要启用宏，别启用就对了。对于宏病毒，笔者目前接（是）触（工）不（具）多（党），不过之前使用过一个Python工具oletools。如果是Python2.7环境则安装命令为：pip install oletools。装好后，利用oletools工具里的mraptor(macrorapter)查看是否可疑，如下显示可疑文件：如果使用olevba提取恶意宏会解析失败，如下：如果之 ………………………………