Vba2Graph是一款用于生成VBA调用图,并高亮显示潜在恶意关键字的工具。该工具旨在使安全研究人员能够快速的分析恶意宏,并更加直观的理解其执行流程。
特性
关键字高亮显示
VBA属性支持
外部函数声明支持
使用 “_Change” 执行触发器Tricky宏
鲜艳的配色方案
优点
方便快速
适用于大多数在野观察到的恶意宏
缺点
静态(无法识别动态解析调用)
示例
Example 1:
Trickbot downloader – 利用对象Resize事件作为初始触发器,紧接着是TextBox_Change触发器。
Example 2:
更多示例可在Examples文件夹中查看。
安装
安装oletools
https://g
ithub.com/decalage2/oletools/wiki/Install
安装Python依赖包
pip install -r requirements.txt
安装Graphviz
Windows
安装Graphviz msi:
https://graphviz.g
itlab.io/_pages/Download/Download_windows.html
将“dot.exe”添加到PATH env变量或是:
set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin
Mac
brew install graphviz
Ubuntu
sudo apt-get install graphviz
Arch
sudo pacman -S graphviz
使用(所有平台)
olevba malicious.doc | python vba2graph.py -c 1
python vba2graph.py -i olevba_output.bas -o output_folder
输出
你将在output文件夹中看到3个文件夹:
png:您要查找的实际图像
dot:用于创建图像的文件
bas:脚本识别的VBA函数代码(用于调试)