Vba2Graph:生成VBA调用图并高亮显示潜在恶意关键字的工具

删除output目录

Vba2Graph是一款用于天生VBA调用图,并高亮显示潜在恶意关键字的对象该对象旨在使安然钻研职员能够快速的阐发恶意宏,并加倍直不雅的理解其履行流程

特点

关键字高亮显示

VBA属性支持

外部函数声明支持

应用 “_Change” 履行触发器Tricky宏

鲜艳的配色规划

优点

方便快速

适用于大年夜多半在野察看到的恶意宏

毛病

静态(无法识别动态解析调用)

示例

Example 1:

Trickbot downloader – 使用工具Resize事故作为初始触发器,紧接着是TextBox_Change触发器

Example 2:

更多示例可在Examples文件夹中查看

安装

安装oletools

https://github.com/decalage2/oletools/wiki/Install

安装Python依附包

pip install -r requirements.txt

安装Graphviz

Windows

安装Graphviz msi:

https://graphviz.gitlab.io/_pages/Download/Download_windows.html

将“dot.exe”添加到PATH env变量或是:

set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin

Mac

brew install graphviz

Ubuntu

sudo apt-get install graphviz

Arch

sudo pacman -S graphviz

应用(所有平台)

olevba malicious.doc | python vba2graph.py -c 1

python vba2graph.py -i olevba_output.bas -o output_folder

输出

你将在output文件夹中看到3个文件夹:

png:您要查找的实际图像

dot:用于创建图像的文件

bas:脚本识别的VBA函数代码(用于调试)

批处置惩罚

Mac/Linux

batch.sh脚本文件,用于在恶意文档的input文件夹上运行olevba和vba2graph履行此操作时,必然要请审慎!

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包