參考：
（1）工具篇：如何分析惡意文檔【http://www[.]4hou.com/technology/2634[.]html】
（2）OLE文檔分析工具之oletools介紹
【http://ahageek[.]com/blog/oletools-introduce/】
（3）github oletools
【https://github[.]com/decalage2/oletools】
（4）垃圾郵件分析實(shí)例
【http://blog[.]51cto[.]com/skytina/2051426】
（5）惡意郵件里的doc文件解析
【http://www[.]freebuf[.]com/articles/82814.html】
（6）oledump.py使用
【https://blog[.]didierstevens[.]com/2014/12/17/introducing-oledump-py/】
（7）工具集
【http://www[.]malware-analyzer[.]com/document-analysis-tools】
（8）officeMalScan使用
【https://www[.]aldeid[.]com/wiki/OfficeMalScanner/OfficeMalScanner】

創(chuàng)新互聯(lián)專注于巍山網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供巍山營銷型網(wǎng)站建設(shè)，巍山網(wǎng)站制作、巍山網(wǎng)頁設(shè)計(jì)、巍山網(wǎng)站官網(wǎng)定制、微信小程序開發(fā)服務(wù)，打造巍山網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供巍山網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

使用python環(huán)境，
部分工具需要使用python2的版本，所以我本機(jī)裝了python2.7和python3.5版本
在python2.7的安裝目錄將python.exe改為python2.exe,并將路徑寫入環(huán)境變量，這樣就可以完成切換，別忘了安裝pip【https://pypi[.]python[.]org/pypi/pip】

安裝pip失敗

安裝settools【https://pypi[.]python[.]org/pypi/setuptools】

再安裝pip成功

同理我們將pip.exe改為pip2.exe并寫入環(huán)境變量

修改后的兩個文件名

---

1. 使用快捷鍵 ALT+F11 或在菜單工具欄，點(diǎn)擊宏，編輯宏
   

2.使用oledump

安裝模塊olefile
pip install olefile

下載oledump

使用oledump

使用-s選項(xiàng)選擇模塊，查看數(shù)據(jù)，我這里選擇第7個
則oledump -s 7 filename
文件需要用正確的文件后綴，要不然看不到數(shù)據(jù)。。。。我也服了

使用-v轉(zhuǎn)換對應(yīng)模塊為vbs文檔

具體宏功能就不看了。

還有很多功能請使用-h查看學(xué)習(xí)
3.使用officeMalscanner.exe查看宏

使用-h查看幫助文檔

office要xml格式才能解析。。。。，先暫停使用。
記住使用inflate解壓 info提取宏就可以了。。。。

4.使用oletools
下載安裝

在目錄tools下，使用olevbapy
-c: 只顯示word中的宏代碼
-a: 自動分析word是否可疑

oletools還有很多可用的，。。。自己到目錄下查看吧

樣本：
（1）SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a
（2）md5: 370751889f591000daa40c400d0611f2
（3）WIN_019_11.doc, SHA256 6780af202bf7534fd7fcfc37aa57e5a998e188ca7d65e22c0ea658 c73fad36a2
（4）WIN_019_11.doc, SHA256 f36cb4c31ee6cbce90b5d879cd2a97bcfe23a38d37365196c25e 6ff6a9f8aaa6

感謝同事的分享，學(xué)習(xí)啦

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章題目：office宏分析-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://weahome.cn/article/dchpio.html