内容简介:今天给大家介绍的是一款名叫Vba2Graph的恶意软件分析工具,这款工具可以根据VBA代码来生成调用图,以帮助研究人员更方便地分析恶意文档。对于安全研究人员来说,很多时候都需要花费大量的时间来分析恶意Office宏文件。但如果我们能提供一个VBA调用图,并高亮标记潜在的恶意关键词,那么研究人员就可以快速对恶意宏进行分析,并了解其执行流程了。
前言
今天给大家介绍的是一款名叫Vba2Graph的恶意软件分析工具,这款 工具 可以根据VBA代码来生成调用图,以帮助研究人员更方便地分析恶意文档。
对于安全研究人员来说,很多时候都需要花费大量的时间来分析恶意Office宏文件。但如果我们能提供一个VBA调用图,并高亮标记潜在的恶意关键词,那么研究人员就可以快速对恶意宏进行分析,并了解其执行流程了。
功能介绍
1、 关键词高亮标记; 2、 VBA属性支持; 3、 支持外部函数声明; 4、 巧妙触发“_Change”执行; 5、 美观的配色方案。
特性
1、 速度非常快; 2、 支持目前绝大部分的恶意宏。
演示样例
样例1:
Trickbot下载器-使用了对象Resize事件来作为初始触发器,跟在TextBox_Change触发器的之后:
样例2:
注:Examples目录中提供了更多参考样例。
工具安装
安装oletools:
https://github.com/decalage2/oletools/wiki/Install
安装 Python 依赖:
pip2 install -r requirements.txt
安装Graphviz
Windows
安装Graphviz msi:
https://graphviz.gitlab.io/_pages/Download/Download_windows.html
添加“dot.exe”到PATH环境变量中,或者运行:
set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin
macOS
brew install graphviz
Ubuntu
sudo apt-get install graphviz
Arch
sudo pacman -S graphviz
工具使用
usage:vba2graph.py [-h] [-o OUTPUT] [-c {0,1,2,3}] (-i INPUT | -f FILE) optional arguments: -h, --help show this help message and exit -o OUTPUT, --output OUTPUT output folder (default:"output") -c {0,1,2,3}, --colors {0,1,2,3} color scheme number [0,1, 2, 3] (default: 0 - B&W) -i INPUT, --input INPUT olevba generated fileor .bas file -fFILE, --file FILE Office file withmacros
工具使用样例(全平台通用)
仅支持Python 2:
#Generate call graph directly from an Office file with macros [tnx @doomedraven] python2 vba2graph.py -f malicious.doc -c 2 #Generate vba code using olevba then pipe it to vba2graph olevba malicious.doc | python2 vba2graph.py -c 1 #Generate call graph from VBA code python2 vba2graph.py -i vba_code.bas -o output_folder
输出结果
在你的输出目录下会生成4个文件夹:
1、 png:存储实际生成的图形文件; 2、 svg:相同的图形文件(矢量图); 3、 dot:dot文件,用来创建图形文件; 4、 bas:脚本所识别出的VBA函数代码。
项目地址
Vba2Graph:【 GitHub传送门 】
* 参考来源: kitploit ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《Vba2Graph:一款通过VBA代码分析恶意软件的强大工具(带GUI)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 【技术分享】浅析如何通过一个PPT传递恶意文件
- 如何通过一封恶意邮件追踪幕后黑客组织
- 恶意软件可以通过电源从气隙式PC中提取数据
- 我是如何通过分析后门JXplorer样本发现其背后的恶意组织
- 欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载
- 欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Lean Startup
Eric Ries / Crown Business / 2011-9-13 / USD 26.00
更多中文介绍:http://huing.com Most startups fail. But many of those failures are preventable. The Lean Startup is a new approach being adopted across the globe, chan ging the way companies are built and ......一起来看看 《The Lean Startup》 这本书的介绍吧!