搜索

[13751] 2019-02-13_rtfraptor:从恶意RTF文件中提取OLEv1对象的工具

文档创建者:s7ckTeam
浏览次数:33
最后更新:2025-01-18
2019-02-13_rtfraptor:从恶意RTF文件中提取OLEv1对象的工具 r t f r a p t o r R T F O L E v 1   F r e e B u f   2 0 1 9 - 0 2 - 1 3 r t f r a p t o r O L E v 1 R T F W o r d O L E v 1 O L E 1 . R T F 2 . 3 . R T F 4 .   J S O N O L E v 1 W o r d     p a y l o a d 使 O L E v 1 P a c k a g e r $   p i p   i n s t a l l   r t f r a p t o r - - e x e c u t a b l e - - f i l e ( a n a l y s i s _ v e n v )   >   r t f r a p t o r   - - e x e c u t a b l e   " C : P r o g r a m   F i l e s M i c r o s o f t   O f f i c e O f f i c e 1 5 W I N W O R D . E X E "   - - f i l e   7 2 9 6 D 5 2 E 0 7 1 3 F 4 B F 1 5 C D 4 E 8 0 E F 0 D A 3 7 E . r t f - - j s o n   o u t p u t . j s o n   - - s a v e - p a t h   o l e _ p a r t s - - s a v e - p a t h 0 0 0 0 0 0 0 0     0 1   0 5   0 0   0 0   0 2   0 0   0 0   0 0   0 8   0 0   0 0   0 0   5 0   6 1   6 3   6 b     | . . . . . . . . . . . . P a c k | 0 0 0 0 0 0 1 0     6 1   6 7   6 5   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   f e   1 2   0 0   0 0     | a g e . . . . . . . . . þ . . . | 0 0 0 0 0 0 2 0     0 2   0 0   6 3   7 2   6 f   7 3   7 3   6 1   6 1   6 1   2 e   6 4   6 c   6 c   0 0   4 3     | . . c r o s s a a a . d l l . C | 0 0 0 0 0 0 3 0     3 a   5 c   6 3   7 2   6 f   7 3   7 3   6 1   6 1   6 1   2 e   6 4   6 c   6 c   0 0   0 0     | : c r o s s a a a . d l l . . | 0 0 0 0 0 0 4 0     0 0   0 3   0 0   3 1   0 0   0 0   0 0   4 3   3 a   5 c   5 5   7 3   6 5   7 2   7 3   5 c     | . . . 1 . . . C : U s e r s | 0 0 0 0 0 0 5 0     5 2   6 5   7 6   6 5   7 2   7 3   6 5   5 c   4 1   7 0   7 0   4 4   6 1   7 4   6 1   5 c     | R e v e r s e A p p D a t a | 0 0 0 0 0 0 6 0     4 c   6 f   6 3   6 1   6 c   5 c   5 4   6 5   6 d   7 0   5 c   6 3   7 2   6 f   7 3   7 3     | L o c a l T e m p c r o s s | 0 0 0 0 0 0 7 0     6 1   6 1   6 1   2 e   6 4   6 c   6 c   0 0   0 0   1 2   0 0   0 0   4 d   5 a   9 0   0 0     | a a a . d l l . . . . . M Z . . | 0 0 0 0 0 0 8 0     0 3   0 0   0 0   0 0   0 4   0 0   0 0   0 0   f f   f f   0 0   0 0   b 8   0 0   0 0   0 0     | . . . . . . . . ÿ ÿ . . ¸ . . . | 0 0 0 0 0 0 9 0     0 0   0 0   0 0   0 0   4 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0     | . . . . @ . . . . . . . . . . . | 0 0 0 0 0 0 a 0     0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0     | . . . . . . . . . . . . . . . . | 0 0 0 0 0 0 b 0     0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   d 8   0 0   0 0   0 0   0 e   1 f   b a   0 e     | . . . . . . . . Ø . . . . . º . | 0 0 0 0 0 0 c 0     0 0   b 4   0 9   c d   2 1   b 8   0 1   4 c   c d   2 1   5 4   6 8   6 9   7 3   2 0   7 0     | . ´ . Í ! ¸ . L Í ! T h i s   p | 0 0 0 0 0 0 d 0     7 2   6 f   6 7   7 2   6 1   6 d   2 0   6 3   6 1   6 e   6 e   6 f   7 4   2 0   6 2   6 5     | r o g r a m   c a n n o t   b e | 0 0 0 0 0 0 e 0     2 0   7 2   7 5   6 e   2 0   6 9   6 e   2 0   4 4   4 f   5 3   2 0   6 d   6 f   6 4   6 5     |   r u n   i n   D O S   m o d e | . . .   s n i p   . . .
O L E j s o n J S O N , * g i t h u b F r e e B u f . C O M o l e t o o l s . c o m m o n . c l s i d ( a n a l y s i s _ v e n v )   >   r t f r a p t o r   - - e x e c u t a b l e   " C : P r o g r a m   F i l e s M i c r o s o f t   O f f i c e O f f i c e 1 5 W I N W O R D . E X E "   - - f i l e   7 2 9 6 D 5 2 E 0 7 1 3 F 4 B F 1 5 C D 4 E 8 0 E F 0 D A 3 7 E . r t f   - - j s o n   o u t p u t . j s o n   - - s a v e - p a t h   o l e _ p a r t s W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   0 0 0 2 0 8 2 1 - 0 0 0 0 - 0 0 0 0 - C 0 0 0 - 0 0 0 0 0 0 0 0 0 0 4 6   ( M i c r o s o f t   E x c e l . C h a r t . 8 ) W A R N I N G   O b j e c t   s i z e   i s   3 9 0 7 0 2 ,   S H A 2 5 6   i s   2 a 7 f 9 2 b f 3 7 c e f 7 7 c 4 f a 2 e 9 7 f c f 3 4 7 8 b 3 e 4 e 4 2 9 6 5 1 4 8 1 7 b d 8 c 1 2 e 5 8 3 0 0 b 4 8 5 4 0 6 W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   0 0 0 2 0 8 2 1 - 0 0 0 0 - 0 0 0 0 - C 0 0 0 - 0 0 0 0 0 0 0 0 0 0 4 6   ( M i c r o s o f t   E x c e l . C h a r t . 8 ) W A R N I N G   O b j e c t   s i z e   i s   3 9 0 1 9 0 ,   S H A 2 5 6   i s   f 8 a c 5 b 3 7 f 5 2 b 6 3 1 6 1 7 8 c 2 9 3 7 0 4 f c c 7 6 2 d 0 a 2 9 d 2 7 0 0 c 7 e d a 5 3 7 2 4 f 5 5 2 4 1 3 c 7 b 9 8 W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   F 2 0 D A 7 2 0 - C 0 2 F - 1 1 C E - 9 2 7 B - 0 8 0 0 0 9 5 A E 3 4 0   ( O L E   P a c k a g e   O b j e c t   ( m a y   c o n t a i n   a n d   r u n   a n y   f i l e ) ) W A R N I N G   O b j e c t   s i z e   i s   3 5 9 1 1 5 ,   S H A 2 5 6   i s   2 e a 2 4 8 d 4 3 d 4 b d 5 3 e 2 3 4 5 3 0 d b 0 d e 2 5 1 7 a 7 f 4 4 d e b a 5 f 4 3 3 6 7 6 3 6 2 3 2 0 1 9 b 2 e 9 e 8 2 2 W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   F 2 0 D A 7 2 0 - C 0 2 F - 1 1 C E - 9 2 7 B - 0 8 0 0 0 9 5 A E 3 4 0   ( O L E   P a c k a g e   O b j e c t   ( m a y   c o n t a i n   a n d   r u n   a n y   f i l e ) ) W A R N I N G   O b j e c t   s i z e   i s   4 9 0 2 ,   S H A 2 5 6   i s   2 8 c 9 a f b e 4 6 a 3 5 a 6 d 7 1 1 5 c a 3 d a 5 3 5 8 5 4 e f d d c 9 7 4 9 f 1 f f 1 3 7 2 2 f a 9 8 d 2 b d 3 a 8 1 2 2 b W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   F 2 0 D A 7 2 0 - C 0 2 F - 1 1 C E - 9 2 7 B - 0 8 0 0 0 9 5 A E 3 4 0   ( O L E   P a c k a g e   O b j e c t   ( m a y   c o n t a i n   a n d   r u n   a n y   f i l e ) ) W A R N I N G   O b j e c t   s i z e   i s   5 9 2 6 ,   S H A 2 5 6   i s   5 b 5 8 5 0 f 3 2 1 7 e 8 4 6 5 d 6 a d d 2 d a 1 8 a 4 9 5 d 8 7 d 3 3 5 5 2 c 6 c 8 f 4 0 0 e 5 2 e 5 a b 9 c f 0 6 b a 2 e 9 W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   0 0 0 2 C E 0 2 - 0 0 0 0 - 0 0 0 0 - C 0 0 0 - 0 0 0 0 0 0 0 0 0 0 4 6   ( M i c r o s o f t   E q u a t i o n   3 . 0   ( K n o w n   R e l a t e d   t o   C V E - 2 0 1 7 - 1 1 8 8 2   o r   C V E - 2 0 1 8 - 0 8 0 2 ) ) W A R N I N G   O b j e c t   s i z e   i s   7 7 2 7 ,   S H A 2 5 6   i s   3 8 d 9 e 7 4 e d e 4 e f 6 7 e 7 8 e 0 2 8 e c d 8 1 5 c 5 4 a 7 7 7 e 1 1 c 6 c 4 e 7 8 3 8 e c b e 2 6 f d 7 e 7 c 0 3 d 7 c W A R N I N G   S u s p i c i o u s   O L E   o b j e c t   l o a d e d ,   c l a s s   i d   0 0 0 2 C E 0 2 - 0 0 0 0 - 0 0 0 0 - C 0 0 0 - 0 0 0 0 0 0 0 0 0 0 4 6   ( M i c r o s o f t   E q u a t i o n   3 . 0   ( K n o w n   R e l a t e d   t o   C V E - 2 0 1 7 - 1 1 8 8 2   o r   C V E - 2 0 1 8 - 0 8 0 2 ) ) W A R N I N G   O b j e c t   s i z e   i s   7 7 2 7 ,   S H A 2 5 6   i s   a 6 1 2 b 7 b 9 7 f 0 2 1 7 9 7 c 5 9 1 1 c f e 0 2 b d 9 a 1 4 5 f 9 6 a b b 8 8 0 9 9 0 8 3 0 e a f 0 2 1 f 9 8 a 4 a 7 c 8 a - - j s o n {     " s h a 2 5 6 " :   " 8 3 2 6 b c b 3 0 0 3 8 9 a 2 d 6 5 4 e 6 e 9 2 1 e 2 5 9 e 5 5 3 f 3 3 f 8 9 4 9 9 8 4 c 2 d a 5 5 c c b 6 e 9 e d 3 f 6 4 8 0 " ,     " i n p u t _ f i l e " :   " 7 2 9 6 D 5 2 E 0 7 1 3 F 4 B F 1 5 C D 4 E 8 0 E F 0 D A 3 7 E . r t f " ,     " o b j e c t s " :   {         " 0 " :   {             " c l a s s _ i d " :   " 0 0 0 2 0 8 2 1 - 0 0 0 0 - 0 0 0 0 - C 0 0 0 - 0 0 0 0 0 0 0 0 0 0 4 6 " ,             " s h a 2 5 6 " :   " 2 a 7 f 9 2 b f 3 7 c e f 7 7 c 4 f a 2 e 9 7 f c f 3 4 7 8 b 3 e 4 e 4 2 9 6 5 1 4 8 1 7 b d 8 c 1 2 e 5 8 3 0 0 b 4 8 5 4 0 6 " ,             " d e s c r i p t i o n " :   " M i c r o s o f t   E x c e l . C h a r t . 8 " ,             " s i z e " :   3 9 0 7 0 2         } ,         . . .   s n i p   . . .         " 2 " :   {             " c l a s s _ i d " :   " F 2 0 D A 7 2 0 - C 0 2 F - 1 1 C E - 9 2 7 B - 0 8 0 0 0 9 5 A E 3 4 0 " ,             " s h a 2 5 6 " :   " 2 e a 2 4 8 d 4 3 d 4 b d 5 3 e 2 3 4 5 3 0 d b 0 d e 2 5 1 7 a 7 f 4 4 d e b a 5 f 4 3 3 6 7 6 3 6 2 3 2 0 1 9 b 2 e 9 e 8 2 2 " ,             " d e s c r i p t i o n " :   " O L E   P a c k a g e   O b j e c t   ( m a y   c o n t a i n   a n d   r u n   a n y   f i l e ) " ,             " s i z e " :   3 5 9 1 1 5         } ,         . . .   s n i p   . . .         " 5 " :   {             " c l a s s _ i d " :   " 0 0 0 2 C E 0 2 - 0 0 0 0 - 0 0 0 0 - C 0 0 0 - 0 0 0 0 0 0 0 0 0 0 4 6 " ,             " s h a 2 5 6 " :   " 3 8 d 9 e 7 4 e d e 4 e f 6 7 e 7 8 e 0 2 8 e c d 8 1 5 c 5 4 a 7 7 7 e 1 1 c 6 c 4 e 7 8 3 8 e c b e 2 6 f d 7 e 7 c 0 3 d 7 c " ,             " d e s c r i p t i o n " :   " M i c r o s o f t   E q u a t i o n   3 . 0   ( K n o w n   R e l a t e d   t o   C V E - 2 0 1 7 - 1 1 8 8 2   o r   C V E - 2 0 1 8 - 0 8 0 2 ) " ,             " s i z e " :   7 7 2 7         } ,         . . .   s n i p   . . . }

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理