逆向分析Office VBS宏类型文档

文章预览

该题目贴合实际，在实战中经常遇到此类宏病毒 将Office文档中嵌入以VBA(Visual Basic for Applications)编写的宏代码脚本，当运行Office文档时，便可以执行各种命令。 VBA脚本文件重定向能够将脚本默认文件vbaProject.bin进行替换，在打开文本时加载其他文件，增加分析者的分析复杂程度。 1、初步分析 在 Office 2007 之后的 Office 文档格式采用的是 OOXML 标准格式。那什么是 OOXML 标准？这里的 OOXML 的全称是 Office Open XML File Formats 或被称为 OpenXML 格式，这是一个基于 zip+xml 定义的文档格式。简单的说就是Office文档是一些xml文档压缩文件，因此我们将一个word文档进行zip解压，可以获得一些xml文件 ‍ 打开发现是一堆乱码，此时就需要借助大佬们的工具了。 2、oletools oletools对该文件进行分析，oletools将宏源码完整的还原了出来。 官网：https://github.com/decalage2/oletools/relea ………………………………