欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Vba2Graph:生成VBA调用图并高亮显示潜在恶意关键字的工具

来源:本站整理 作者:佚名 时间:2018-09-05 TAG: 我要投稿

Vba2Graph是一款用于生成VBA调用图,并高亮显示潜在恶意关键字的工具。该工具旨在使安全研究人员能够快速的分析恶意宏,并更加直观的理解其执行流程。
特性
关键字高亮显示
VBA属性支持
外部函数声明支持
使用 “_Change” 执行触发器Tricky宏
鲜艳的配色方案
优点
方便快速
适用于大多数在野观察到的恶意宏
缺点
静态(无法识别动态解析调用)
示例
Example 1:
Trickbot downloader – 利用对象Resize事件作为初始触发器,紧接着是TextBox_Change触发器。

Example 2:

更多示例可在Examples文件夹中查看。
安装
安装oletools
https://github.com/decalage2/oletools/wiki/Install
安装Python依赖包
pip install -r requirements.txt
安装Graphviz
Windows
安装Graphviz msi:
https://graphviz.gitlab.io/_pages/Download/Download_windows.html
将“dot.exe”添加到PATH env变量或是:
set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin
Mac
brew install graphviz
Ubuntu
sudo apt-get install graphviz
Arch
sudo pacman -S graphviz
使用(所有平台)
olevba malicious.doc | python vba2graph.py -c 1
python vba2graph.py -i olevba_output.bas -o output_folder
输出
你将在output文件夹中看到3个文件夹:
png:您要查找的实际图像
dot:用于创建图像的文件
bas:脚本识别的VBA函数代码(用于调试)
批处理
Mac/Linux
batch.sh脚本文件,用于在恶意文档的input文件夹上运行olevba和vba2graph。
删除output目录。执行此操作时,一定要请谨慎!
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载