freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Vba2Graph:生成VBA调用图并高亮显示潜在恶意关键字的工具
2018-09-05 08:00:42

Vba2Graph是一款用于生成VBA调用图,并高亮显示潜在恶意关键字的工具。该工具旨在使安全研究人员能够快速的分析恶意宏,并更加直观的理解其执行流程。

特性

关键字高亮显示

VBA属性支持

外部函数声明支持

使用 "_Change" 执行触发器Tricky宏

鲜艳的配色方案

优点

方便快速

适用于大多数在野观察到的恶意宏

缺点

静态(无法识别动态解析调用)

示例

Example 1:

Trickbot downloader - 利用对象Resize事件作为初始触发器,紧接着是TextBox_Change触发器。

Vba2Graph

Example 2:

Vba2Graph

更多示例可在Examples文件夹中查看。

安装

安装oletools

https://github.com/decalage2/oletools/wiki/Install

安装Python依赖包

pip install -r requirements.txt

安装Graphviz

Windows

安装Graphviz msi:

https://graphviz.gitlab.io/_pages/Download/Download_windows.html

将“dot.exe”添加到PATH env变量或是:

set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin

Mac

brew install graphviz

Ubuntu

sudo apt-get install graphviz

Arch

sudo pacman -S graphviz

使用(所有平台)

olevba malicious.doc | python vba2graph.py -c 1

python vba2graph.py -i olevba_output.bas -o output_folder

输出

你将在output文件夹中看到3个文件夹:

png:您要查找的实际图像

dot:用于创建图像的文件

bas:脚本识别的VBA函数代码(用于调试)

批处理

Mac/Linux

batch.sh脚本文件,用于在恶意文档的input文件夹上运行olevba和vba2graph。

删除output目录。执行此操作时,一定要请谨慎!

 *参考来源:githubFB小编 secist 编译,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# Vba2Graph
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑