0x01로 매크로 플래그를 훼손
OLE 파일을 구문 분석 할 때, 우리는 0x42H의하여 DirectoryEntry 오프셋이 바이트 타입 유형을 나타내는 디렉토리를 소개했다. 0 불법, 디렉토리 (저장), 루트 노드로 2 노드 (스트림), (5). VBA 프로젝트를 구문 분석 할 때 불법 Directory 및 구문 분석 오류가 발생할 수 있기 때문에 FFI 가전 오피스 소프트웨어 O, 그래서 우리는, 사용하는 매크로 디렉토리 프로젝트를 찾습니다 유형 비트가 0 수정할 수, 즉, 불법 디렉토리입니다. 도시 된 바와 같이, 입력 바이트 값 1, 섹터 디렉토리 섹터, 섹터 어드레스 기록 매크로 파일임을 나타낸다 여기서 기록 섹터가 0x42를 오프셋 것을 나타낸다. 0으로 변경 오프셋 (offset)하는 0x42 값이 섹터 불법 섹터가 있음을 나타내는 문서를 파싱 O FFI 세륨 오피스 소프트웨어 섹터를 무시하는, 상기 저장 매크로 섹터를 찾을 수 없다.
위의 그림에서, 우리는이 디렉토리의 이름은 "매크로"의 값을 수정합니다. 사실,이 개 "VBA"명명 된 매크로에 대한 지침 및 "_VAB_PROJECT_CUR가"있다, 즉, 매크로, VBA과에서 VBAProject 부문,
0x02를 수동 청소 매크로 (* .DOCM와 * .XLSM 문서)
첫째, 파일, 생성 된 파일의 사본을 복사 우편에 파일 확장자를 수정
지퍼 케이스 파일 (압축하지 않음) 열고 두 숫자 다음의 그림은 케이스 .DOCM의 *이며, 그림은 * .XLSM입니다
· 파일 vbaProject.bin 삭제, 단어 (XL) 폴더를 엽니 다
· ZIP 파일 확장자는 .DOC거나 .XLS을 수정합니다. 파일은 일반적으로 사용할 수 있습니다.
0x03으로 매크로 코드 대신
이 치료 바이러스 백신 소프트웨어가 여전히 살해 될 것입니다 후, 조금 변화를하지 않는 문서 매크로 코드 데이터에 수정 플래그 위.
우리는 문자를 사용하는 각 문자를 대체하는 'A'매크로 코드로, 우리는 매크로, 코드를 수정하고 대체 할 수있는 매크로를 해결했다. 예를 들어,있는 MsgBox를 들어 "안녕하세요", aaaaaaaaaaaa로 수정됩니다. 전체 매크로를 수정하고 파괴 된이 수정 한 후, 문서는 일반적으로 사용할 수있는 소프트가 살해되지 않을 것이다 죽인다.