富文本格式(Rich Text Format)即RTF格式她混,又稱多文本格式,是由微軟公司開發(fā)的跨平臺文檔格式泊碑。大多數(shù)的文字處理軟件都能讀取和保存RTF文檔坤按。
RTF文檔示例
本質(zhì)上,RTF文件是由 '{rtf' 開始馒过,以符號 '}' 結(jié)尾臭脓,嵌套的字符串集合。
例如:{\rtf {data {more data}}}.
以下RTF代碼:
{\rtf1\ansi
Hello!\par
This is some {\b bold} text.\par
}
在字處理軟件上將顯示為如下效果:
Hello!
This is some bold text.
反斜線符號(\)標(biāo)志著RTF控制代碼開始沉桌。代碼\par表示開始新的一行谢鹊,代碼\b將文本以粗體顯示×羝荆花括號{和}定義一個群組。上述例子中使用了一個群組來限制代碼\b的作用范圍偎巢。合法的RTF文檔是一個以代碼\rtf開始的群組蔼夜。
RTF文件也可以嵌入十六進(jìn)制格式的對象,例如:
{\rtf {data
{\*\objdata
01050000
02000000
08000000
46696C656E616D6500000000000000...
}}}
惡意的RTF文件也可能包括一段payload压昼,并以多種方式與正常的數(shù)據(jù)進(jìn)行混淆求冷,其中之一是將額外的控制代碼(控制字符串)插入到正常的十六進(jìn)制數(shù)據(jù)中,例如:
{\rtf {data
{\*\objdata
01050000
02000000
08000000
46696C656E61{\obj}6D6500000000000000...
}}}
移除空格和不需要的控制代碼后窍霞,真正的十六進(jìn)制數(shù)字是01050……
后續(xù)呢匠题,如果有一天能力提升了,再去插入惡意程序但金,只不過我不會韭山,暫時到這里。
支持RTF的軟件
1冷溃、WordPad(Microsoft Windows)(Mac OS)
2钱磅、Microsoft Word
3、Apache OpenOffice / LibreOffice
4似枕、WPS
5盖淡、EIOffice
