olevba (Python)
Olevba ist ein Skriptsammlung, um OLE- und OpenXML-Dateien von MS Officedokumente wie MS Word, MS Excel usw. zu analysieren. Man kann damit VBA-Makros extrahieren und genauer analysieren.Dateisupport
- Word 97-2003 (.doc, .dot), Word 2007+ (.docm, .dotm)
- Excel 97-2003 (.xls), Excel 2007+ (.xlsm, .xlsb)
- PowerPoint 2007+ (.pptm, .ppsm)
Lizenz und Download
- Lizenz: open-source, BSD
- Sprache: Python 2.x
- Webseite: http://www.decalage.info/python/olevba
- Download: https://bitbucket.org/decalage/oletools/downloads
Syntax:
olevba.py
Beispiel
Nach der Installation von Python 2.7 und das Download von olevba.py kann man beginnen.
Extrahieren VBA
Ich analsyiere die Datei SecureDocument.doc mittels olevba.py. Bei längeren Code kann man auch folgenden Befehl absetzen:
olevba.py SecureDocument.doc > code.txt
Verschleierten Code analysieren (obfuscate)
In diesem Fall waren sehr viele Variablen verstückelt. Mittels Javascript wurden die relevanten Codestücke zusammengefasst und als document.write() ausgegeben. Das interessante dabei war das diesem Script die Poweshell ausgeführt will und ein EXE vom Internet herunter geladen werden soll. Ein Grund mehr Powershell in einem Unternehmen nur mit Signierten Code zu erlauben:
Fazit
Mit olevba.py erhält mein nützliches Tool um Office Dateien zu analysieren und von normalen Officedokumenten zu unterscheiden. In diesem Fall war schnell klar was mit dem Makro beabsichtigt wird.
...auch noch interessant
- Tipps und Tricks // 09.02.2024MySQL: Japanisch konvertieren zwischen HEX, Decimal code point, UNICODE characters bytes
- Sicherheit // 03.12.2021OpenPGP.js 5.0.1: Pgp als pure Javascript Bibliothek und dazu meine OpenPGP.UI.js Oberfläche
- Tipps und Tricks // 12.03.2019Tipp für die Linux Bash: jq is a lightweight and flexible command-line JSON processor
- Tipps und Tricks // 27.04.2018Ubuntu: Downgrade Firefox
Nichts gefunden
Es wurde zur Story Sicherheit: Office-Makros in MS Word, MS Excel mit olevba.py verifzieren kein Kommentar gefundenInformation
Werbung oder Ähnliches sind nicht erlaubt, daher wird jeder Beitrag geprüft und freigegeben.Advertising, etc. are not allowed, so any contribution is reviewed and approved.
Facebook-Webadress are not allowed, Facebook als Webadresse ist nicht erlaubt
* Die E-Mail wird nicht veröffentlicht / The email will not be published
** Bitte Zahl eintragen / Please enter the number
Modal Header
Some text in the Modal Body
Some other text...
(c)2025 stastka.ch // help system