Office file analysis
Usa Trickest per costruire facilmente e automatizzare flussi di lavoro supportati dagli strumenti della comunità più avanzati al mondo. Ottieni l'accesso oggi:
Per ulteriori informazioni controlla https://trailofbits.github.io/ctf/forensics/. Questo è solo un riassunto:
Microsoft ha creato molti formati di documenti di Office, con due tipi principali che sono i formati OLE (come RTF, DOC, XLS, PPT) e i formati Office Open XML (OOXML) (come DOCX, XLSX, PPTX). Questi formati possono includere macro, rendendoli bersagli per phishing e malware. I file OOXML sono strutturati come contenitori zip, consentendo l'ispezione tramite scompattamento, rivelando il file e la gerarchia delle cartelle e i contenuti dei file XML.
Per esplorare le strutture dei file OOXML, viene fornito il comando per decomprimere un documento e la struttura di output. Sono stati documentate tecniche per nascondere dati in questi file, indicando un'innovazione continua nella dissimulazione dei dati all'interno delle sfide CTF.
Per l'analisi, oletools e OfficeDissector offrono set di strumenti completi per esaminare sia i documenti OLE che OOXML. Questi strumenti aiutano nell'identificare e analizzare le macro incorporate, che spesso fungono da vettori per la distribuzione di malware, scaricando e eseguendo tipicamente payload dannosi aggiuntivi. L'analisi delle macro VBA può essere condotta senza Microsoft Office utilizzando Libre Office, che consente il debug con punti di interruzione e variabili di watch.
L'installazione e l'uso di oletools sono semplici, con comandi forniti per l'installazione tramite pip e l'estrazione di macro dai documenti. L'esecuzione automatica delle macro è attivata da funzioni come AutoOpen
, AutoExec
, o Document_Open
.
Utilizza Trickest per creare facilmente e automatizzare flussi di lavoro supportati dagli strumenti della community più avanzati al mondo. Ottieni l'accesso oggi:
Last updated