OfficeMalScanner.exe는 간단히 설명드리면 악성 매크로 파일에 대해 소스코드를 추출하여 분석할수 있는 하나의 툴이라고 생각하시면 되십니다.
악성매크로 파일은 인터넷을 검색하면 구하실수 있으며 직접 코드 추출까지 해보시길 바랍니다.
기본 형식
OfficeMalScanner <PPT, DOC or XLS file> <scan | info> <brute> <debug>
옵션
scan : 쉘 코드, 암호화된 PE 파일 스캔
info : OLE 구조와 오프셋|길이 덤프, VBA 매크로 코드 저장
inflate : MS Office 2007 문서를 임시 폴더에 압축 풀기
brute : 암호화된 요소 찾기
debug : HEX 디어셈블리로 출력
먼저 해당 악성파일의 bin 파일을 추출하여 줍니다.
OfficeMalScanner.exe "[파일명]" info
MS Office 2007 이상 부터 해당 명령어를 사용
OfficeMalScanner.exe "[파일명]" inflate 해당 명령어를 입력하면 추출된 bin 파일의 이름과 bin 파일의 위치가 나오게 됩니다.
bin 파일의 위치가 OfficeMalScanner 폴더가 아니라면 해당 bin 파일을 복사하여 OfficeMalScanner 폴더로 복사하여 줍니다.
Office Open XML 파일에서의 VBA 매크로는 vbaProject.bin 이라는 이름으로 저장이 됩니다.
참고사이트 : http://www.arstdesign.com/articles/office2007bin.html
VBA 파일 저장
OfficeMalScanner.exe vbaProject.bin info
해당 명령어를 실행하면 OfficeMalScanner 폴더에 VBAPROJECT.BIN-Macros 폴더가 생성이 되며 폴더안에 ThisDocument 파일에서 소스코드를 확인 할 수 있습니다.
소스코드 추출 결과 화면
실제 해당 툴은 악성 파일 분석을 하는데 많이 사용되기도 하며 매크로 파일안에 vba 소스코드를 확인하고 어떠한 행위를 하는지 분석할때 사용이 됩니다.
'Code::Security > ETC' 카테고리의 다른 글
| 2021 OWASP TOP10 (0) | 2022.09.05 |
|---|---|
| 윈도우 명령 프롬프트(CMD) 및 명령어 알아보기 (0) | 2022.08.10 |
| 공개 도구를 이용한 홈페이지 취약점 점검 안내서 (0) | 2021.06.17 |
| XSS 기본 태그 사용법 정리 (0) | 2021.06.17 |
| SQL MAP 사용법 정리 (0) | 2021.06.17 |