Theo gợi ý của bạn Khanh Ta Quang, tôi bổ sung thêm cách để lấy được dll đã nhúng trong file mà không cần phải debug.
- Decode base64 data của oledata.mso (lúc parse XML tag), ta có được data sau khi decode như sau:
2. Dùng oledump kiểm tra file mso trên:
3. Dùng SSview (https://www.mitec.cz/ssv.html) để xem stream và lưu stream ‘_1630085104’ ra disk
4. Load stream trên, lựa chọn từ offset [0x4:], sau đó decompress bằng zib:
5. Lưu file đã decompress ở trên, và check tiếp:
6. Sau đó tiếp tục parse file, để ý sẽ thấy có object là map, object này tương ứng với đoạn code này:
7. Đọc code VBA, thì thấy sẽ xor với 0x99. Thực hiện xor sẽ có được PE file
8. Kiểm tra PE file vừa dump:
Regards,
