本文大部分内容为收集整理。参考链接在文章最后面。

office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本。
Office2007之前的版本为OLE复合格式：doc,dot,xls,xlt,pot,ppt
Office2007之后的版本为OpenXML格式：docx,docm,dotx,xlsx,xlsm,xltx,potx

复合文档不仅包含文本，而且包括图形、电子数据表格、声音、视频等其他信息。使用面向对象技术，将非标准信息（如图像、声音）作为独立的、自包含式对象包含在文档中。
复合文档将数据分成许多流（Steams），流存储在不同的Storages里。符合文档采用NTFS（NT File System）格式。
流又分成更小的数据扇区（sectors）。数据扇区可能包含控制数据或用户数据。
整个文件由一个头结构（Header)结构以及Sectors组成，头结构确定了Sectors的大小，每个Sector的大小相同。

使用offVis对doc文件进行解析：主要包括4个方面Header、FAT、MinFAT、DirectoryEntry

固定512字节。记录了ole文件的关键信息。结构如下图，比较重要的字段前面会标*号

FAT为索引表结构，每一条记录中的内容是下一个扇区的地址。如下面的SECTOR[0]中记录了下一个扇区为1，SECTOR[1]中记录了下一个扇区为2，以此类推直到SECTOR[10]为一个链的结束。

特殊ID值扇区

复合文档中其实存放着很多内容，这么多内容需要有个目录，那么Directory就是这个目录。从Header中我们可以读取出Directory开始的SectorID，我们可以定位到这个位置（0x200 + sectorSize * dirStartSectorID）。Directory中每个DirectoryEntry固定为128字节。

Open XML是微软在Office 2007中推出的基于XML的文件格式，主要是满足文档文件被应用程序、平台和浏览器读取的能力。新的文件格式实际上是标准的ZIP文件格式，我们可以像打开其他ZIP文件一样来打开Open XML的文档文件，里面包含着XML文件、RELS文件以及一些其他文件。

文档结构

安装oletools

分析ole文档结构工具
olebrowse：浏览器的方式查看
olemeta:获取文档的属性数据，如作者，修改日期等
oletimes：查询每个streams和storages的修改时间
oledir：查询ole的directory entries信息
olemap：查看ole文档的整体情况，如header、fat、minifat等
分析ole病毒文档工具
oleid：检测ole文档中包含的内容，如是否被加密、是否有VBA脚本、Excel、PowerPoint、Visio、Flash
olevba：检测提取文档中的vba脚本，--decode:解密字符串，--reveal:将源码中的混淆字符串用解密字符串代替。
mraptor：检测恶意VBA脚本。A:自动执行，W:写文件或内存，X：执行文件或payload。
msodde：检测提取DDE/DDEAUTO链接
pyxswf：检测提取flash对象（SWF文件）

VBA代表Visual Basic for Applications，它是一个来自Microsoft的事件驱动的编程语言。 现在它主要用于Microsoft Office应用程序，如MSExcel，MS-Word和MS-Access。
最简单的VBA的编辑器就是office(word、excel等)

选项--->自定义功能区--->勾选开发工具

点击开发工具--->插入--->按钮控件

右键按钮控件可以修改控件的一些属性。双击打开编辑器，输入MsgBox "Hi,VBA!"

模块：编写代码的区域
函数：可以在程序的任何地方调用。Function和End Function关键字之间写代码
子过程：没有返回值。在Sub和End Sub关键字之间写代码。
注释：以单引号(‘)开头或者以"REM"开头表示注释
VBA变量&常量
命名变量的基本规则
变量名第一个字符必须为字母
变量名不能使用的字符：空格 ! @ & $ #
变量名长度不超过255个字符
不能使用VB保留关键字作为变量名

数字类型数据

非数字数据类型

VBA运算符

VBA条件判断和循环

VBA字符串

VBA数组

指定数组大小为5，从索引0开始，可以保存6个值，且可以保存不同类型的值

VBA事件
可以对很多事件写代码进行处理，如SelectionChange为选择框发生改变时触发

VBA文本文件
文件系统对象FSO：用于对驱动器、文件夹和文件进行操作

写入文件内容

Write命令

为了寻找样本进行学习（不是对office的漏洞进行分析），在any.run上设置type：Microsoft office ；tag：macros或者apt

样本来源：https://app.any.run/tasks/ba244852-4bad-41a4-9296-c24129ac92e1/
简单执行效果，提示linkSelectTmp.jpg不是可执行文件（存在写文件），cc服务器已经关闭
所以最终目标：1.分析出文档具体行为。2.找到cc服务器

linkSelectTmp.jpg打开如下图

提取vba
提取vba脚本 olevba.exe -c .\report.06.21.doc > vba.txt

分析VBA脚本
autoopen过程调用了functionVInteger和globView("")
functionVInteger：将文本的内容解密并写入c:\programdata\linkSelectTmp.hta
globView：执行shell("explorer c:\programdata\linkSelectTmp.hta")
collectException:读取文档中的文本，并通过'x'进行分割为数组
collectClassH：将数组与100进行异或解密
indexClassInit：将字符串进行与”c:\programdata\linkSelectTmp.hta“进行拼接

第一段加密代码分析
加密的数据如下

得到的hta数据
1.从vbMemoryCaption中获取数据并按"aGV5"进行分割得到rightHCur数组
2.buttProcLibrary函数根据uncSize中的字母表，进行base64解密
3.bytesLZero 为rightHCur[0]，base64解密并翻转
4.arrMemory为rightHCur[1]，base64解密并翻转，得到最后的脚本

第二段加密代码分析
1.访问目标网站，将得到的内容保存导c:\users\public\linkSelectTmp.jpg中
2.执行regsvr32 c:\users\public\linkSelectTmp.jpg
regsvr32.exe用于注册和取消注册Windows操作系统的DLL(动态链接库)文件和ActiveX控件。

因为网站已经404所以，linkSelecTmp.jpg内容并不是dll或者activeX控件

小结：
1.doc文档打开自动执行解密并写入c:\programdata\linkSelectTmp.hta
2.linkSelectTmp.hta解密vb脚本向http://alreadyhobbsd.com/adda/85489/8TDa/72770/minzp/NG49vxHs/XGLTiUezHK4cDgtD44adtgoNOrQHyFJMFzOoCdgm/22407/focy11?FIhI9=pJLRhq62ehgq7f&user=OUaxW4tg5&ifB1YRDc8=978SdZPHswwSXW5mjZR&search=GDqfURSpnhy4qlyqU2tc9PoB0F&page=27IsUCmeKvvZwmT5HhJmfRJ9Ec&page=TDbk1tB3clVvutYDwB7VmVbkCa&page=xZTfMUui5758c&cid=jlD3aw1PYoiLshUWO2PYN0xXA0Y&=EB24uYCj0FUY8g
发送get请求获取linkSelectTmp.jpg
3.linkSelectTmp.hta执行"regsvr32 c:\users\public\linkSelectTmp.jpg"

https://app.any.run/tasks/c9662466-6463-42b4-ba14-5dfb41a7f44b/#
在文档关闭的时候会自动关闭，所以优先关注Sub Document_Close()

使用oledump提取vba脚本，有很多注释语句，变量名也被混淆了，正好是个不错的样本。需要动态调试查看。

动态调试查看，点击视图开启立即窗口、本地窗口和监视窗口

Set nZsXAIAmrwsMOxkvh = gxUVYeacLIkNroPKoYAd.CreateTextFile(oCHIUZS, True, True)，创建了一个文件，直接查看比较麻烦，通过设置断点，查看变量的方法可以容易的知道创建的文件为"C:\Users\abel\Downloads\deer.ini"，后续要关注这个文件

接着上面就是大量的字符串拼接，之后应该会进行解密写文件操作，可以跳过这段代码下断点

UNMfYyPswUtPDcyphmZwEXyU先对字符串进行了base64的解密，再写入到了“C:\Users\abel\Downloads\deer.ini”文件中

执行生成的vba脚本

最后写注册表"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer", "wscript.exe C:\Users\abel\Downloads\deer.ini //e:VBScript //b", "REG_SZ"实现自启

deer.ini分析
创建一个word，启动visualBasic编辑器，并将beer.ini的内容复制进去。
首先创建了一个字符串"C:\Users\abel\deer.exe"

写注册表

使用WMI测试是否能ping通coagula.online

可以使用debug.print调试输出url，得到一个url“http://83.166.240.31/get.php?independent=”

可惜这个url已经关闭了，没法继续往下分析。
小结
1.word解密释放C:\Users\abel\Downloads\deer.ini（vbs脚本）
2.设置注册表"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer"，设置自启deer.ini
3.启动deer.ini
4.设置两个注册表HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\AccessVBOM
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\VBAWarnings
5.获取coagula.online的ip
6.访问http://83.166.240.31/get.php?independent=，获取deer.exe内容（猜测）
对于提取到的vb代码可以新建文档动态调试。

https://app.any.run/tasks/63e3f841-6c52-454f-9d03-9d02883100ae/#
总所周知docx的文档是没有宏是安全的（漏洞除外），所以docx这类不存在宏的文档就安全了吗？这里还是从any.run上找了一个apt标签的office文档（因为apt标签用这个技术的比较多）
使用olevba进行查看并没有vba脚本，但是oleid显示存在External Relationships

oleobj可以检测到一个外部链接http://pokis-to.hopto.org/18FAB3F7/TKvrzJNE.dot 。当docx文档启动的时候会加载使用该dot文档。链接已经失效，后续分析也没有了。

./word/_rels/settings.xml.rels中找到了可疑链接。rels文件指定了各个部件之间的关系。Target表示零件的文件位置，正常情况使用的是相对路径。

office病毒除了上面的混淆等方法，还有什么方法可以对抗检测和分析呢？

vba宏代码有3个存储的地方：源代码、pcode区和execode区
用Structured Storage Viewer打开只有下面最简单宏的doc文件


源代码：宏的原代码被压缩保存。是vba模块流的末尾，可以使用'Attribut'字符串轻松识别
pcode：存储的是pcode伪代码，是vba宏代码被vba编辑器编译之后的代码。
execode：只要在pcode代码至少执行一次之后才会出现，存储的是pcode执行的痕迹。execode代码存储在SRP_目录中。
_VBA_PROJECT和SRP_#流：版本和实现信息


存在三个代码区域，那么什么情况下会执行对应的代码呢？
正常情况只会执行源码和p-code
pcode：office版本和vba编辑器相同时，使用pcode（pcodedmp提取pcode代码）
源码：office或者vba版本不同时，使用源码执行
exe-code：是pcode的执行记录，不会被执行，但是具备独立执行的条件

针对上面的pcode和源码在不同条件下的执行优先顺序，提出了不同的攻击方法。
将恶意的源码与非恶意的VBA源码进行交换，保留p-code不变。攻击能够成功取决于office版本，office版本和目标的office版本相同时，office会优先执行p-code中的代码。可以使用https://github.com/outflanknl/EvilClippy工具完成这个过程
先创建一个包含一个模块abcdefg模块的doc文档，打开时自动弹窗HelloWorld

创建一个非恶意的fakeMssage.vba

使用EvilClippy替换原来doc中的源码，得到doc_EvilClippy_stomping.doc文件

使用word查看效果，vba编辑器仍然能看到源码，因为当vba执行时，office会根据p-code修复源码

使用Structured Storages Viewer查看，可以看到源码内容已经被修改

使用olevba对doc_EvilClippy_stomping.doc进行查看，分析得到的vba代码已经出错。pcode部分还是能看到源码正常。且已经提示存在vba stoming

oledump工具提示7，13报错

pcodedmp分析

可以使用pcode2code库来提取源码

小结：
VBA stoming方法主要是针对一些自动检测工具进行干扰，降低杀软报毒的可能性，对于手动分析没有干扰效果。

与VBA stomping相反，VBA purging保留了源码，删除了p-code及相关部分。
从模块流和_VBA_PROJECT流中删除Pcode，将MODULEOFFSET的值更改为0，并删除所有SRP流。更容易绕过AV检测和YARA规则（导致一些分析工具失效，貌似对手动分析并没影响）
可以使用https://github.com/fireeye/OfficePurge完成相关操作

如何实现vba purging的操作呢（阅读https://github.com/fireeye/OfficePurge源码）
1.读取“dir”的流内容，并解压。
2.解析“dir”流内容解析出module的名字和源码的offset。（比如doc.doc中abcdefg模块的偏移为1307）

3.循环提取源码到OG_VBACode，移除pcode，再重新设置VBA中对应模块源码。（如下源码）

4.修改dir流中module的偏移为0
5.设置_VBA_PROJECT为"CC-61-FF-FF-00-00-00"
6.删除__SRP_*的流

_VBA_PROJECT长度只有7个字节时优先考虑是否为vba_purging

当文档运行p-code时，VBA引擎会根据p-code修复源码。所以只要p-code运行，使用vba编辑器查看到的就还是源码。如下图将doc的源码进行了替换，但是用word打开时还是原来的代码。有没有什么办法能阻碍分析人员通过vba编辑器查看和动态调试呢？

EviClippy可以使用-g参数隐藏vba源码

Hiding macros原理
通过查看EviClippy的相关代码，可以知道-g参数主要是对将PROJECT流中的"Module=abcdefg\x0D\x0A"删除并重新保存（使用FlexHEX，直接用010editor会导致vba失效）

查看效果：能够成功执行vba代码，但是vba编辑器看不到对应的

文档结构相关
（官方文档）[MS-OLEDS]: Object Linking and Embedding (OLE) Data Structures
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-oleds/85583d21-c1cf-4afe-a35f-d6701c5fbb6f
Office文件的奥秘——.NET平台下不借助Office实现Word、Powerpoint等文件的解析(一)
https://www.cnblogs.com/mayswind/archive/2013/03/17/2962205.html
office 复合文档数据结构解析“初探”
https://blog.csdn.net/Cody_Ren/article/details/103886098
Tools to extract VBA Macro source code from MS Office Documents
http://www.decalage.info/en/vba_tools
复合文档的二进制存储格式研究[ole存储结构]整理
https://blog.csdn.net/chaoguodong/article/details/80402291
恶意Office文档解析——1. Office文档格式解析
https://blog.csdn.net/qq_42855619/article/details/92852284
oletools百科
https://github.com/decalage2/oletools/wiki

VBA教程
https://www.yiibai.com/vba

office病毒分析相关
宏病毒的研究与实例分析01——基础篇
https://blog.csdn.net/qq_38474570/article/details/88382677?spm=1001.2014.3001.5501
（推荐）【恶意代码分析技巧】08-文档宏病毒
https://www.sec-in.com/article/67
浅析恶意office文档检测技术
https://www.secrss.com/articles/10705
word文档宏病毒样本分析
https://www.52pojie.cn/thread-1287476-1-1.html
一例加密保护Excel的vba宏病毒下载器分析
https://www.52pojie.cn/thread-1298869-1-1.html

office病毒隐藏相关
(推荐)Evil Clippy原理
https://outflank.nl/blog/2019/05/05/evil-clippy-ms-office-maldoc-assistant/
(推荐)OfficePurge工具
https://github.com/fireeye/OfficePurge
Pcode与VBA Stomping
https://www.yuque.com/p1ut0/qtmgyx/mbwnvq
Oficepurge原理
https://www.fireeye.com/blog/threat-research/2020/11/purgalicious-vba-macro-obfuscation-with-vba-purging.html

最后提供一下实验用的样本解压密码:bbs.pediy.com
test文件夹为最简单的宏的doc，用于测试特性和工具
样本文件夹为any.run下载样本，解压密码infected

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)