Skip to main content
Sicherheit: Office-Makros in MS Word, MS Excel mit olevba.py verifzieren
Sicherheit: Office-Makros in MS Word, MS Excel mit olevba.py verifzieren
Erhält man einen E-Mail mit Word-Anhang muss man eigentlich davon ausgehen das es ein Makrovirus enthält. Wie kann man aber das Makro anschauen ohne das entsprechende Programm zu verwenden? Die Antwort: olevba.py (Python)

olevba (Python)

Olevba ist ein Skriptsammlung, um OLE- und OpenXML-Dateien von MS Officedokumente wie MS Word, MS Excel usw. zu analysieren. Man kann damit VBA-Makros extrahieren und genauer analysieren.

Dateisupport

  • Word 97-2003 (.doc, .dot), Word 2007+ (.docm, .dotm)
  • Excel 97-2003 (.xls), Excel 2007+ (.xlsm, .xlsb)
  • PowerPoint 2007+ (.pptm, .ppsm)

Lizenz und Download

Syntax:

 olevba.py 

Beispiel

Nach der Installation von Python 2.7 und das Download von olevba.py kann man beginnen.

Extrahieren VBA

Ich analsyiere die Datei SecureDocument.doc mittels olevba.py. Bei längeren Code kann man auch folgenden Befehl absetzen:

 olevba.py SecureDocument.doc > code.txt

Verschleierten Code analysieren (obfuscate)

In diesem Fall waren sehr viele Variablen verstückelt. Mittels Javascript wurden die relevanten Codestücke zusammengefasst und als document.write() ausgegeben. Das interessante dabei war das diesem Script die Poweshell ausgeführt will und ein EXE vom Internet herunter geladen werden soll. Ein Grund mehr Powershell in einem Unternehmen nur mit Signierten Code zu erlauben:

Fazit

Mit olevba.py erhält mein nützliches Tool um Office Dateien zu analysieren und von normalen Officedokumenten zu unterscheiden. In diesem Fall war schnell klar was mit dem Makro beabsichtigt wird.

Nichts gefunden

Es wurde zur Story Sicherheit: Office-Makros in MS Word, MS Excel mit olevba.py verifzieren kein Kommentar gefunden

Information

Werbung oder Ähnliches sind nicht erlaubt, daher wird jeder Beitrag geprüft und freigegeben.
Advertising, etc. are not allowed, so any contribution is reviewed and approved.
Facebook-Webadress are not allowed, Facebook als Webadresse ist nicht erlaubt


* Die E-Mail wird nicht veröffentlicht / The email will not be published
** Bitte Zahl eintragen / Please enter the number
Ihr Kommentar
?
?
captcha Image?
?
 

Tippsammlung

Kleine Tippsammlung für mich und dijenige die sich auf meine Webseite verirrt haben.

Archiv

JahrArchiv
Tag(s):