Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy z wykorzystaniem najbardziej zaawansowanych narzędzi społeczności na świecie. Otrzymaj dostęp już dziś:

Aby uzyskać dalsze informacje, sprawdź https://trailofbits.github.io/ctf/forensics/. To tylko streszczenie:

Microsoft stworzył wiele formatów dokumentów biurowych, z dwoma głównymi typami: formaty OLE (takie jak RTF, DOC, XLS, PPT) i formaty Office Open XML (OOXML) (takie jak DOCX, XLSX, PPTX). Te formaty mogą zawierać makra, co czyni je celem phishingu i złośliwego oprogramowania. Pliki OOXML są strukturalnie jako kontenery zip, co pozwala na inspekcję poprzez rozpakowanie, ujawniając strukturę plików i folderów oraz zawartość plików XML.

Aby zbadać struktury plików OOXML, podano polecenie do rozpakowania dokumentu i strukturę wynikową. Techniki ukrywania danych w tych plikach zostały udokumentowane, wskazując na ciągłe innowacje w ukrywaniu danych w ramach wyzwań CTF.

Do analizy oletools i OfficeDissector oferują kompleksowe zestawy narzędzi do badania zarówno dokumentów OLE, jak i OOXML. Te narzędzia pomagają w identyfikowaniu i analizowaniu osadzonych makr, które często służą jako wektory dostarczania złośliwego oprogramowania, zwykle pobierające i wykonujące dodatkowe złośliwe ładunki. Analizę makr VBA można przeprowadzić bez pakietu Microsoft Office, korzystając z Libre Office, co pozwala na debugowanie za pomocą punktów przerwania i zmiennych obserwowanych.

Instalacja i użycie oletools są proste, a polecenia są dostarczone do instalacji za pomocą pip oraz do wyodrębniania makr z dokumentów. Automatyczne wykonanie makr jest wyzwalane przez funkcje takie jak AutoOpen, AutoExec lub Document_Open.

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros

Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy z wykorzystaniem najbardziej zaawansowanych narzędzi społecznościowych na świecie. Otrzymaj dostęp już dziś: