Извлечение и деобфускация макросов XLM с XLMMacroDeobfuscator

hacking tools

XLMMacroDeobfuscator — инструмент, который позволяет извлечь и деобфусцировать макросы XLMXLM (также известные как макросы Excel 4.0). Он использует внутренний эмулятор XLM для интерпретации макросов без полного выполнения кода.

Еще по теме: Как скрыть вирус в файлах Microsoft Office

XLMMacroDeobfuscator  поддерживает форматы xls, xlsm и xlsb. Он использует xlrd2, pyxlsb2 и собственный синтаксический анализатор для извлечения ячеек и другой информации из файлов xls, xlsb и xlsm.

Установка XLMMacroDeobfuscator

Прочтите файл requirements.txt, чтобы получить список необходимых библиотек Python.

Для извлечения и деобфускации макросов в файлах xls, xlsm и xlsb XLMMacroDeobfuscator может быть запущен в любой ОС. Вам не нужно устанавливать MS Excel.

Примечание: если вы хотите использовать MS Excel (в Windows), вам необходимо установить библиотеку pywin32 и использовать переключатель —with-ms-excel. Если используется —with-ms-excel, xlmdeobfuscator сначала пытается загрузить файлы xls с помощью MS Excel, в случае неудачи использует библиотеку xlrd2.

Установка с помощью pip

pip install XLMMacroDeobfuscator

Установка последней версии

pip install -U https://github.com/DissectMalware/xlrd2/archive/master.zip
pip install -U https://github.com/DissectMalware/pyxlsb2/archive/master.zip
pip install -U https://github.com/DissectMalware/XLMMacroDeobfuscator/archive/master.zip

Использование XLMMacroDeobfuscator

Извлечение макросов XLM

Чтобы деобфускировать макросы в документах Excel:

xlmdeobfuscator --file document.xlsm

Чтобы получить только деобфусцированные макросы:

xlmdeobfuscator --file document.xlsm --no-indent --output-formula-format "[[INT-FORMULA]]"

Чтобы экспортировать вывод в формате JSON. Вот пример.

xlmdeobfuscator --file document.xlsm --export-json result.json

Использование файла конфигурации

xlmdeobfuscator --file document.xlsm -c default.config

В следующем примере показано, как XLMMacroDeobfuscator можно использовать в проекте Python для деобфускации XLM.

Деобфускация макросов XLM

На этом все. Теперь вы знаете, какой использовать инструмент для извлечения и деобфускации макросов XLM.

Еще по теме: Анализ подозрительных PDF-документов

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *