我想知道是否可以使用.doc或者.docx包含宏?
有什么解决方案可以postfix用于拒绝此类附件?
今天我刚刚收到了一个勒索软件类型的文件,其中包含宏:
同时我已经核实过olevba.py
olevba 0.46 - http://decalage.info/python/oletools
Flags Filename
----------- -----------------------------------------------------------------
OpX:MASIHB-- /home/user/Desktop/490141.doc
===============================================================================
FILE: /home/user/Desktop/490141.doc
Type: OpenXML
-------------------------------------------------------------------------------
VBA MACRO ThisDocument.cls
in file: word/vbaProject.bin - OLE stream: u'VBA/ThisDocument'
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
如果能够实现的话那将是一件伟大的事情。
编辑:由于这与安全相关,因此我在这里添加此内容:请参阅下面docm也应该阻止的评论。
答案1
这可以通过垃圾邮件刺客例如,
一个成熟且广泛部署的开源项目,可用作邮件过滤器来识别垃圾邮件。SpamAssassin 使用多种机制,包括标头和文本分析、贝叶斯过滤、DNS 阻止列表和协作过滤数据库。SpamAssassin 在服务器上运行,并在垃圾邮件到达您的邮箱之前对其进行过滤。
编写自己的插件来检查这些文件中是否存在宏(编写插件的一些常见技巧),或者,也许更好的选择是尝试一些像这样(并贡献改进和/或错误修复)。我没有使用后者,因此无法判断其质量。