# 0x05. Other types of Malware [TOC] ## Intro 本章算是比較簡單的一章，要提的東西圍繞在Office文件 雖然分析方法相對簡單，但也更容易遇到複雜的Obfuscation 加上最有效的釣魚郵件時常搭配惡意文件來做Combo技，所以還是值得一看的 <br> ## Office Doc: Macro Office文件內有個功能叫Macro，他其實就是VBA Macro可以利用 AutoOpen()功能讓你一打開文件就執行裡面的code 內容不外乎是下載更多的惡意程式並且執行 有很多工具可以使用，常見的像是oledump.py以及FLARE VM內建的OfficeMalScanner.exe **Example** [惡意Word檔案載點](https://app.any.run/tasks/beeacb0b-f648-4fac-a337-c59db41dbd10/#) 分析之後，找到三組Macro  <br> 如果貿然打開這個Word檔案，可以從Fiddler看到下列HTTP Request，相當邪惡啊  <br> ## PDF 跟 Office Document很類似，PDF可以用各種工具來檢查裡面的物件 像是 pdf-parser 可以看到圖中的PDF有一個PowerShell script的object存在裡面，一看就非善類  <br> 通常這類型PowerShell都會經過encode來隱藏原本的模樣，也帶到下一個主題：PowerShell <br> ## PowerShell 對於PowerShell的功用，大多是用來下載更多東西並執行，常常存在在Office文件或是PDF之中 有時PowerShell也可以自身夾帶exe檔案，小弟曾寫過一篇PowerShell去混淆的文章講解了如何一步一步還原netwalker的PowerShell script [Blog 連結](https://pentestwriteup.blogspot.com/2020/08/netwalker-malware-deobfuscaction-from.html) <br> [-0xbc](https://hackmd.io/@0xbc000) ###### tags: `Malware Analysis` `Reverse Engineering` `tutorials`