工具介绍
oletools是一个python工具包,用于分析Microsoft OLE 2文件(也称为结构化存储,复合文件二进制格式或复合文档文件格式),如Microsoft Office 97-2003文档,MSI文件或Outlook消息,主要用于恶意软件分析,取证和调试。它基于olefile解析器。
它还提供了工具来分析RTF文件和基于OpenXML格式(又名OOXML)的文件,如MS Office 2007+文档,XPS或MSIX文件。
例如,oletools可以检测、提取和分析Excel宏、OLE对象、Excel 4宏(XLM)和DDE链接。
工具列表
分析恶意文档的工具
- oleid:分析OLE文件,以检测恶意文件中通常存在的特定特征。
- olevba:从MS Office文档(OLE和OpenXML)中提取和分析XML宏源代码。
- MacroRaptor:检测恶意宏
- msodde:检测并从MS Office文档、RTF和CSV中提取DDE/DDE链接
- pyxswf:检测,提取和分析可能嵌入在MS Office文档(例如Word,Excel)和RTF等文件中的Flash对象(Flash Object,Flash Object),这对恶意软件分析特别有用。
- oleobj:从OLE文件中提取嵌入对象。
- rtfobj:从RTF文件中提取嵌入对象。
分析OLE文件结构的工具
- olebrowse:一个简单的GUI,用于浏览OLE文件(例如MS Word,Excel,Powerpoint文档),以查看和提取单个数据流。
- olemeta:从OLE文件中提取所有标准属性(元数据)。
- oletimes:提取所有流和存储的创建和修改时间戳。
- oledir:显示OLE文件的所有目录项,包括自由项和孤立项。
- olemap:显示OLE文件中所有扇区的映射。
下载并安装
下载和安装/更新oletools最新稳定版本的推荐方法是使用pip:
- On Linux/Mac:
sudo -H pip install -U oletools[full]
- On Windows:
pip install -U oletools[full]
这将自动创建命令行脚本,以便从任何目录运行每个工具:olevba
、mraptor
、rtfobj
等。
关键字[full]
表示将安装所有可选依赖项,例如XLMMacroDeobfuscator。如果你更喜欢没有可选依赖项的轻量级版本,只需从命令行中删除[full]
。
要获取最新的开发版本,请改为:
- On Linux/Mac:
sudo -H pip install -U https://github.com/decalage2/oletools/archive/master.zip
- On Windows:
pip install -U https://github.com/decalage2/oletools/archive/master.zip
工具地址
https://github.com/decalage2/oletools
标签:文件,提取,OLE,office,宏病毒,文档,Office,oletools,工具 From: https://blog.csdn.net/u012206617/article/details/145164781