宏病毒处理思路
破坏宏标志
宏清除脚本
手工清理宏(针对* .DOCM和* .XLSM文档)
替换宏代码
说明
在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒。
宏病毒处理思路
破坏宏标志
在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非
法,1为目录(storage),2为节点(Stream),5为根节点。
我们可以定位宏工程所使用的Directory,将Type位修改为0,即非法Directory,这样Office办公软件在解析VBA工程
时,会因为非法Directory而导致解析错误。
如图所示,表示该扇区类型的字节记录在偏移0x42处,该处值为1,表示该扇区是目录扇区,该扇区记录着Macros
文件的地址。将偏移0x42处值修改为0,表示该扇区是非法扇区,office办公软件解析文档是就会忽略该扇区,也就无
法找到存储Macros的扇区了。
在上图中,我们值修改了名为“宏”的这个目录中。实际上,用于宏的指南还有两个,分别名为 “VBA”,和
“_VAB_PROJECT_CUR”,分别是宏,VBA和的VBAProject扇区,
宏清除脚本
根据如上原理,笔者写了一个简单的python处理脚本,源码如下:
import sys
import os.path
#read bytes
def readfile(filename,address,size):
f = open(filename,'rb')
f.seek(地址,0)
cont = f.read(size)
f.close()
返回cont
资源评论
Asama浅间
- 粉丝: 887
- 资源: 299
最新资源
- 基于bilibili弹幕分析,包含爬虫、词云分析、词频分析、情感分析、构建衍生指标,可视化资料齐全+详细文档+源码.zip
- 基于Python 网络爬虫实战、数据分析合集 当当 网易云音乐 unsplash 必胜客 猫眼资料齐全+详细文档+源码.zip
- 基于python flask vue-element-admin selenium 爬虫 后台资料齐全+详细文档+源码.zip
- 基于Python爬虫小项目汇总(招聘信息电影信息股票信息天气信息贴吧信息图片信息视频信息..)资料齐全+详细文档+源码.zip
- 基于python模拟登陆一些大型网站资料齐全+详细文档+源码.zip
- 基于scrapy + selenium + phantomjs + mongodb机票爬虫(去哪儿和携程网)资料齐全+详细文档+源码.zip
- 基于rocket电商网站爬虫合集,淘宝京东亚马逊等资料齐全+详细文档+源码.zip
- 基于Python入门网络爬虫之精华版资料齐全+详细文档+源码.zip
- 基于Scrapy + seleniumwebdriver + 爬取某书整站爬虫资料齐全+详细文档+源码.zip
- 基于scrapy+scrapy-redis+selenium+pandas+matplotlibaqi天气信息爬虫、清洗资料齐全+详细文档+源码.zip
- 基于selenium + sqlite3 爬虫,实现将淘宝网站数据、1688网站数据的爬取,淘宝爬虫1688爬虫;并保存到数据库中资料齐全+详细文档+源码.zip
- 基于scrapy分布式爬虫,selenium 爬虫,手机群控(自动化)反爬破解文档资料齐全+详细文档+源码.zip
- 基于selenium 携程酒店爬虫+简单数据分析资料齐全+详细文档+源码.zip
- 基于selenium+python实现京东商品爬虫淘宝店铺爬虫资料齐全+详细文档+源码.zip
- 基于selenium裁判文书网爬虫,文书网登录资料齐全+详细文档+源码.zip
- 基于Selenium×Firefox自动化爬虫模板资料齐全+详细文档+源码.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
