这里是普通文章模块栏目内容页
Vba2Graph:生成VBA调用图并高亮显示潜在恶意关键字的工具

Vba2Graph是一款用于生成VBA调用图,并高亮显示潜在恶意关键字的工具。该工具旨在使全研究人员能够快速的分析恶意宏,并更加直观的理解其执行流程。

特性

关键字高亮显示

VBA属性支持

外部函数声明支持

使用 “_Change” 执行触发器Tricky宏

鲜艳的配色方案

优点

方便快速

适用于大多数在野观察到的恶意宏

缺点

静态(无法识别动态解析调用)

示例 Example 1:

Trickbot downloader – 利用对象Resize事件作为初始触发器,紧接着是TextBox_Change触发器。

Vba2Graph

Vba2Graph

Example 2:

Vba2Graph

Vba2Graph

更多示例可在Examples文件夹中查看。

安装oletools https://github.com/decalage2/oletools/wiki/Install 安装Python依赖包 pip install -r requirements.txt 安装Graphviz

Windows

安装Graphviz msi:

https://graphviz.gitlab.io/_pages/Download/Download_windows.html

将“dot.exe”添加到PATH env变量或是:

set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin

Mac

brew install graphviz

Ubuntu

sudo apt-get install graphviz

Arch

sudo pacman -S graphviz 使用(所有平台) olevba malicious.doc | python vba2graph.py -c 1 python vba2graph.py -i olevba_output.bas -o output_folder 输出

你将在output文件夹中看到3个文件夹:

png:您要查找的实际图像

dot:用于创建图像的文件

bas:脚本识别的VBA函数代码(用于调试)

收藏
0
有帮助
0
没帮助
0