XLMMacroDeobfuscator — инструмент, который позволяет извлечь и деобфусцировать макросы XLMXLM (также известные как макросы Excel 4.0). Он использует внутренний эмулятор XLM для интерпретации макросов без полного выполнения кода.
Еще по теме: Как скрыть вирус в файлах Microsoft Office
XLMMacroDeobfuscator поддерживает форматы xls, xlsm и xlsb. Он использует xlrd2, pyxlsb2 и собственный синтаксический анализатор для извлечения ячеек и другой информации из файлов xls, xlsb и xlsm.
Установка XLMMacroDeobfuscator
Прочтите файл requirements.txt, чтобы получить список необходимых библиотек Python.
Для извлечения и деобфускации макросов в файлах xls, xlsm и xlsb XLMMacroDeobfuscator может быть запущен в любой ОС. Вам не нужно устанавливать MS Excel.
Если вы хотите использовать MS Excel (в Windows), вам необходимо установить библиотеку pywin32 и использовать переключатель —with-ms-excel. Если используется —with-ms-excel, xlmdeobfuscator сначала пытается загрузить файлы xls с помощью MS Excel, в случае неудачи использует библиотеку xlrd2.
Установка с помощью pip
1 |
pip install XLMMacroDeobfuscator |
Установка последней версии
1 2 3 |
pip install -U https://github.com/DissectMalware/xlrd2/archive/master.zip pip install -U https://github.com/DissectMalware/pyxlsb2/archive/master.zip pip install -U https://github.com/DissectMalware/XLMMacroDeobfuscator/archive/master.zip |
Использование XLMMacroDeobfuscator
Чтобы деобфускировать макросы в документах Excel:
1 |
xlmdeobfuscator --file document.xlsm |
Чтобы получить только деобфусцированные макросы:
1 |
xlmdeobfuscator --file document.xlsm --no-indent --output-formula-format "[[INT-FORMULA]]" |
Чтобы экспортировать вывод в формате JSON. Вот пример.
1 |
xlmdeobfuscator --file document.xlsm --export-json result.json |
Использование файла конфигурации
1 |
xlmdeobfuscator --file document.xlsm -c default.config |
В следующем примере показано, как XLMMacroDeobfuscator можно использовать в проекте Python для деобфускации XLM.
На этом все. Теперь вы знаете, какой использовать инструмент для извлечения и деобфускации макросов XLM.
Еще по теме: Анализ подозрительных PDF-документов