微软 Office 文件分析与恶意检测指南
1. 微软 Office 文件的攻击现状
恶意的微软 Office 文档正成为针对个人和组织的流行攻击载体。由于微软 Office 软件及其文档的广泛使用,攻击者常利用这些文档进行攻击。常见的 Office 文档如 Word、PowerPoint 和 Excel,在商务和个人场景中频繁交换。尽管有安全协议、邮件附件过滤器等措施防范可执行文件威胁,但 Office 文件常被认为无害而被收件人放心打开。攻击者常使用社会工程学技巧,如伪装成可识别或可信方发送含 Office 文档附件的邮件,诱使受害者打开文档,从而执行恶意代码。
2. 微软 Office 文件格式
微软 Office 文档有两种不同的文件格式:
-二进制文件格式:1997 - 2003 版本的 Office 文档采用二进制格式(.doc、.ppt、.xls),也称为对象链接与嵌入(OLE)复合文件或 OLE 结构化存储文件。这些文件是由存储(类似目录)和流(类似目录中的文件)组成的层次结构集合。不同的 Office 应用程序在文件格式上有细微差别:
-Microsoft Word (.doc):
-WordDocument 流/主流:包含 Word 文档的大部分二进制数据,必须包含位于偏移量 0 处的文件信息块(FIB),FIB 包含文档信息、文件指针和文件长度信息。
-摘要信息流:存储在两个存储流中,即摘要信息和文档摘要信息。
-表流(0Table
