对象存储在一个文档中的内嵌对象(objemb)部分。头字段定义了对象服务器、大小以及其他有关底层内嵌数据的元数据。
图2 Object头
关于头格式的更多信息可以在MS-OLEDS—2.2.4节ObjectHeader中查看。
2、理解OLE1 Packager格式
通过分析大量样本,我们已经能够理解Packager格式的大部分内容,以及它与文档中内嵌对象的联系。下表中列出了遗留Packager数据格式,并可用作解析包数据流的一个指导。
图3 OLE1 Packager格式
除了嵌入的二进制内容,格式中还包括内嵌对象的元数据,这在DFIR中是很有用的。
1、默认情况下,标签值将包含OrgPath中使用的文件名和ObjFile。如果这个值有所不同,表明标签被篡改了。
2、OrgPath将包括内嵌二进制文件的原始路径。
3、ObjFile将包括编写系统% localappdata %的路径,它将包括用户名C:Users ...
为了帮助分析可疑的包数据流,我们编写了一个python工具psparser,它会处理数据格式并将输出元数据,并选择性地提取嵌入的对象。使用该工具能够有助于分析最近发现的钓鱼活动中的恶意RTF文件,我们可以看到它与嵌入对象元数据之间具有很多潜在的相似性。
图4 样本分析
使用嵌入的元数据能够给我们一些主要的指标,我们可以使用这些指标来进一步寻找相关的样本进行分析。
(责任编辑:安博涛)
