恶意软件感染的主要途径之一是通过眼科文件。他们是一个非常强大的感染媒介，特别是在有针对性的攻击和Phising运动中。

这些文件被篡改，目的是隐藏在其内部的宏、Ole、可执行的物件等。一旦用户打开文件，这些文件就采取了一系列恶意行动，目的是获取可从中获利的信息，或仅仅造成系统损坏。一般来说，这类通用恶意软件所采取的行动包括从互联网上下载另一个恶意软件（Droppers），利用系统的脆弱性，复制以确保设备的持久性，对用户信息进行过滤等。

分析和发现办公室文件中的异常模式的一个非常有用的工具是“Officemalscanner”套件，可从作者的网站http://www.reconstructer.org下载。

该套房包括下列工具：

• Officemalscanner：分析“Microsoft Office”（Doc，XLS，Ppt）的文件，查找嵌入式文件、OLE物件、壳体、Macros VBA。此外，它还有一个能够解密诸如Ror和Xor等简单的解密方法的功能。
• RTFSCAN：扫描RTF文档，并提取嵌入式物品，这些物品随后可由“Officemalscanner”分析。
• Malhost-Setup：这是一种工具，可以从一份文件中提取壳体编码，并将其包装在一个静电除尘器中，以便利其分析。
• 这是一个组合码显示出已拆开的对象和正确的胶片。有助于追踪早期工具探测到的壳牌汽车

我们将用这些工具来分析一些恶意的文件，以显示它们的作用和我们能够取得的结果。

首先是一份带有恶意宏观的“微软办公文字”文件。我们要用“Officemalscanner”和INFO参数提取嵌入式宏和物体：

你可以看到他发出警告的方式表明文件中有宏所提取的宏已储存在指定的目录中。这样，我们就可以看到它们与任何文本编辑，避免打开恶意文件，然后是“视觉基本”编辑分析宏观。如果打开提取的宏，我们会看到它包含源代码：

下一个文件是“微软办公PowerPoint”文件。此文档不包含宏，但包含嵌入式对象。我们可以再次看到这一点，使用“Officemalscanner”和SCAN，debug和布鲁特参数。有了这些参数，该工具将扫描文档以查找嵌入式软体和嵌入式软件，并且如果使用XOR、ROR、ROL、ADD或sub等简单技术加密，将试图找到解密密钥并将其取出以供分析。

“Malofficescaner”根据其搜索引擎的规则发现了一些可疑的模式，其中包括：

随后，试图粗略地解密扫描中发现的加密块。下一个出口可以看到一个Ole和三个嵌入式空间物体的位置。一旦他找到了他们出口的解密密钥现在可以对解密的物体进行相应的分析。

RTF文件处理程序类似，但应使用“RTFSCAN”而不是“Officemalscanner”。

如果在这些物体中发现了壳体，我们可以用“Malhost-Setup”将其取出。只要告诉他壳牌代码的起始位置，他将负责将其装入新的静电除尘器。这样，我们就可以更容易地将其作为一项债务处理，因为共同分析办公室软件和恶意文件可能成为一项枯燥的任务。该系统有一个问题，即在办公室自动化软件环境之外进行操作并非总是可能的。为此，需要使用其他技术。

这间套房很有帮助而且在处理可疑文件时会提供大量信息最近，法医分析员Didier Stevens摘取了这套套间中的异常现象搜索链，并制定了一套Yara规则，以迅速查明恶意文件（Yara Rules）。

我们将在博客的以下条目中更深入地分析文件。