Office file analysis
Utilisez Trickest pour construire et automatiser facilement des flux de travail alimentés par les outils communautaires les plus avancés au monde. Accédez dès aujourd'hui :
Pour plus d'informations, consultez https://trailofbits.github.io/ctf/forensics/. Voici juste un résumé :
Microsoft a créé de nombreux formats de documents de bureau, avec deux types principaux étant les formats OLE (comme RTF, DOC, XLS, PPT) et les formats Office Open XML (OOXML) (tels que DOCX, XLSX, PPTX). Ces formats peuvent inclure des macros, ce qui en fait des cibles pour le phishing et les logiciels malveillants. Les fichiers OOXML sont structurés comme des conteneurs zip, permettant une inspection en les dézippant, révélant la hiérarchie des fichiers et dossiers et le contenu des fichiers XML.
Pour explorer les structures de fichiers OOXML, la commande pour dézipper un document et la structure de sortie sont données. Des techniques pour cacher des données dans ces fichiers ont été documentées, indiquant une innovation continue dans la dissimulation de données dans les défis CTF.
Pour l'analyse, oletools et OfficeDissector offrent des ensembles d'outils complets pour examiner à la fois les documents OLE et OOXML. Ces outils aident à identifier et analyser les macros intégrées, qui servent souvent de vecteurs pour la distribution de logiciels malveillants, téléchargeant et exécutant généralement des charges malveillantes supplémentaires. L'analyse des macros VBA peut être effectuée sans Microsoft Office en utilisant Libre Office, qui permet le débogage avec des points d'arrêt et des variables de surveillance.
L'installation et l'utilisation des oletools sont simples, avec des commandes fournies pour l'installation via pip et l'extraction de macros à partir de documents. L'exécution automatique de macros est déclenchée par des fonctions comme AutoOpen
, AutoExec
, ou Document_Open
.
Utilisez Trickest pour construire facilement et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde. Accédez dès aujourd'hui à :
Last updated