嗯,用户让我帮忙总结一篇文章,控制在一百个字以内,而且不需要用“文章内容总结”之类的开头。好的,我先看看文章内容。 文章主要讲的是从RTF文件中提取URL的方法。作者提到RTF文件里有OLE对象,可以用oledump.py来分析。然后发现OLE对象里有一个.docx文件,而.docx是ZIP格式的容器,里面的URL不能用之前的方法提取。于是作者用zipdump.py来处理,并且还提到了搜索嵌入ZIP文件的十六进制序列。 我需要把这些要点浓缩到一百字以内。首先说明RTF文件中的OLE对象和.docx文件,然后提到提取URL的方法变化,以及使用zipdump.py和十六进制搜索。 可能的结构是:RTF文件包含OLE对象和.docx(ZIP),提取URL需用不同方法和工具,以及搜索技巧。 再检查一下字数,确保不超过限制。可能还需要调整句子结构,使其更简洁。 最终总结应该是:RTF文件中包含OLE对象和嵌入的.docx(ZIP格式),提取其中的URL需要使用不同的工具和方法,并且可以通过十六进制序列搜索嵌入的ZIP文件。 </think> 文章描述了从RTF文件中提取URL的过程,涉及分析OLE对象、使用oledump.py工具以及处理嵌入的.docx(ZIP格式)文件以提取其中的URL。 2026-3-2 11:13:4 Author: isc.sans.edu(查看原文) 阅读量:10 收藏
In diary entry "Quick Howto: Extract URLs from RTF files" I mentioned ZIP files.
There are OLE objects inside this RTF file:
They can be analyzed with oledump.py like this:
Options --storages and -E %CLSID% are used to show the abused CLSID.
Stream CONTENTS contains the URL:
We extracted this URL with the method described in my previous diary entry "Quick Howto: Extract URLs from RTF files".
But this OLE object contains a .docx file.
A .docx file is a ZIP container, and thus the URLs it contains are inside compressed files, and will not be extracted with the technique I explained.
But this file can be looked into with zipdump.py:
It is possible to search for ZIP files embedded inside RTF files: 50 4B 03 04 -> hex sequence of magic number header for file record in ZIP file.
Search for all embedded ZIP files:
Extract URLs:
Didier Stevens
Senior handler
blog.DidierStevens.com
如有侵权请联系:admin#unsafe.sh