簡単だと思ったのですが、思ったより難しいと感じました。
悪意のあるパスワードで保護されたWordドキュメントを取得しました。これをIoCについて分析したいと思います。暗号化されているので、oledumpまたは同様のツールで分析しようとすると、「DataSpaces/DataSpaceInfo/StrongEncryptionDataSpace」だけが表示されます。
パスワードは知っていますが、ワードプロセッサで開いてパスワードを削除したくありません。ワープロで開かずにドキュメントを復号化するために使用できるツールを誰かが知っていますか?
これはパスワードで保護されたDOCXドキュメントを復号化し、Python暗号ライブラリ https://github.com/nolze/ms-offcrypto-tool 以外の依存関係はありません。
このpythonツール( https://github.com/herumi/msoffice )は、パスワードで保護されたWord文書をコマンドラインで復号化する方法を示しています。
無料のパスワードクラッカーツールを使用することもできます(例: https://www.lifewire.com/free-Word-password-recovery-tools-2626185 )。
オンラインサービスを使用することもできます(例: http://www.decryptum.com/ with free preview)。
しかし、マルウェアに感染したドキュメントの場合、Wordでドキュメントを開くだけのサンドボックスを備えたスタンドアロンPCをお勧めします。
PythonにはOffice APIがあるかもしれません。 PythonをFirejailで実行しているときに、Linux仮想マシンで実行できます。
危険な生活をしたい場合。
他の回答では、docxファイルの特殊なケースでパスワードを削除する方法を説明しています。私見、根本的な質問に答えるだけでは不十分です。パスワードが削除された後でも、ドキュメントを開いて読み取る必要があるため、そのドキュメントには何が含まれていますか。
とにかく、悪意のあるWord文書は、少なくとも2つの方法で理解できます。
最初の受け入れはかなり単純な方法につながります。マクロを処理しないようにWordを構成してからファイルを開くだけです。
2番目の受け入れでは、実際の形式に実際に依存しますが、一般的なガイダンスは次のとおりです。Wordコードに依存しないもので開きます。たとえば、LibreOfficeまたはOracle OpenOfficeは、Microsoft Word形式を処理できることが知られています。それらは同じコードベースを共有しないため、Microsoft Wordを標的としたエクスプロイトがそれらに影響を与える可能性はありません。特に、マクロを無視するための優れた代替手段です。
Wordドキュメントを処理できるライブラリを使用することもできますが、最初から仕様を完全に実装するのか、それともMicrosoftエンジンへのCOMまたは.NETインターフェイスに依存するのか疑問に思う必要があります。後者の場合でも使用しないでください!