0x01のマクロフラグを損なう
OLEファイルを解析するとき、私たちはその0x42HのDirectoryEntryをオフセットこのバイトタイプタイプを表しDirectoryを導入しました。0は違法である、ディレクトリ(ストレージ)、ルートノードとして2ノード(ストリーム)、5。VBAプロジェクトを、解析時に違法Directoryとは、解析エラーの原因となるので、FFIのCEオフィスソフトウェアOので、我々は、使用するマクロディレクトリプロジェクトを見つけるタイプビットが0で変更することができ、それは、違法ディレクトリです。示されるように、タイプバイトは値1は、セクタディレクトリセクタ、セクタアドレスが記録マクロファイルであることを示している場合で記録セクタは、0x42にオフセットすることを示しています。FFI CEのオフィスソフトウェアは、文書を解析しますオフセットoに0x42に値が0に変更し、部門は違法セクタであることを示している部門を無視することで、それはストレージマクロのセクターを見つけることができません。
上の図では、我々は、このディレクトリの名前を「マクロ」の値を変更します。実際には、2つの、「VBA」と命名されているマクロのためのガイドライン、および「_VAB_PROJECT_CUR」がある、すなわち、マクロ、VBAとVBAProjectの部門、
0x02の手動クリーンアップマクロ(* .DOCMと* .XLSM文書用)
まず、ファイル、生成されたファイルのコピーをコピーし、ZIPにファイル拡張子を変更
ジッパーケースファイル(抽出しません)、次の2つの図を開き、図は、ケース.DOCM *であり、この図は、*です.XLSM
・ファイルvbaProject.binは削除し、単語(XL)フォルダを開きます
・ZIPファイルの拡張子は.DOCですか.XLSを変更します。ファイルが正常に使用することができます。
0x03のマクロコード置き換え
この治療ウイルス対策ソフトウェアがまだ殺害された後、文書のマクロコードデータで変更フラグ上記は、わずかな変更を行いません。
私たちは、このような文字の使用各文字を置き換える「」マクロコードのように、我々はマクロを、コードを変更し、置き換えることができ、マクロを解決しました。たとえばMsgBoxに「こんにちは」、aaaaaaaaaaaaに変更されます。マクロ全体が変更され、破壊されたこの修正した後、文書を正常に使用することができ、ソフトを殺すことはない殺します。