Office file analysis

Reading time: 3 minutes

अधिक जानकारी के लिए देखें https://trailofbits.github.io/ctf/forensics/. यह केवल एक संक्षेप है:

Microsoft ने कई ऑफिस दस्तावेज़ प्रारूप बनाए हैं, जिनमें दो मुख्य प्रकार OLE प्रारूप (जैसे RTF, DOC, XLS, PPT) और Office Open XML (OOXML) प्रारूप (जैसे DOCX, XLSX, PPTX) हैं। ये प्रारूप मैक्रोज़ को शामिल कर सकते हैं, जिससे ये फ़िशिंग और मैलवेयर के लक्ष्यों बन जाते हैं। OOXML फ़ाइलें ज़िप कंटेनरों के रूप में संरचित होती हैं, जो अनज़िपिंग के माध्यम से निरीक्षण की अनुमति देती हैं, फ़ाइल और फ़ोल्डर पदानुक्रम और XML फ़ाइल सामग्री को प्रकट करती हैं।

OOXML फ़ाइल संरचनाओं का अन्वेषण करने के लिए, एक दस्तावेज़ को अनज़िप करने के लिए कमांड और आउटपुट संरचना दी गई है। इन फ़ाइलों में डेटा छिपाने की तकनीकों का दस्तावेजीकरण किया गया है, जो CTF चुनौतियों के भीतर डेटा छिपाने में निरंतर नवाचार को इंगित करता है।

विश्लेषण के लिए, oletools और OfficeDissector OLE और OOXML दस्तावेज़ों की जांच के लिए व्यापक टूलसेट प्रदान करते हैं। ये उपकरण एम्बेडेड मैक्रोज़ की पहचान और विश्लेषण में मदद करते हैं, जो अक्सर मैलवेयर वितरण के लिए वेक्टर के रूप में कार्य करते हैं, आमतौर पर अतिरिक्त दुर्भावनापूर्ण पेलोड को डाउनलोड और निष्पादित करते हैं। VBA मैक्रोज़ का विश्लेषण Microsoft Office के बिना Libre Office का उपयोग करके किया जा सकता है, जो ब्रेकपॉइंट और वॉच वेरिएबल के साथ डिबगिंग की अनुमति देता है।

oletools की स्थापना और उपयोग सरल है, दस्तावेज़ों से मैक्रोज़ निकालने और pip के माध्यम से स्थापित करने के लिए कमांड प्रदान किए गए हैं। मैक्रोज़ का स्वचालित निष्पादन AutoOpen, AutoExec, या Document_Open जैसी कार्यों द्वारा ट्रिगर किया जाता है।

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros