Tôi đọc được bài viết này https://isc.sans.edu/diary/25158 của ông Didier Stevens thấy hay nên viết lại.
Sử dụng công cụ oledump.py để kiểm tra xem tài liệu có chứa macro hay không:
Theo kết quả trên hình, tài liệu này có chứa VBA code. Xem thử nội dung của VBA code này thì thấy sẽ thực hiện lấy nội dung của object qmhxyrgkymtfz để gán cho các biến
(more…)
0day in {REA_TEAM} 