[Format] OLE #02

#02. OLE Structure View

0x00. Intro

이전 Post에서 CFBF(Compound File Binary Format) 과 OLE(Object Linking and Embedding)에 대해 간략하게 알아 보았다. 이번 Post에서는 워드 문서 파일(이하 통칭 "OLE"이라 칭함) 등의 내부 구조를 빠르게 살펴볼 수 있는 툴을 알아보겠다.

0x01. Viewer 

OLE 파일 포멧 뿐만 아니라 대부분의 파일 포멧을 바이너리 상태로 1Byte씩 확인해 나가는 작업은 굉장히 고된 작업이다. 따라서 파일 포멧을 분석하기 이전에 Viewer가 있는지 먼저 확인하는 것이 스트레스로 부터 그나마 벗어날 수 있다.      

OLE 파일 포멧의 경우 크게 2가지 Viewer를 많이 사용한다. 

1) OffVis : [Download]
* 제작 : 마이크로소프트

* 장점
   - 바이트 단위의 상세 분석 정보를 확인할 수 있음

   - 취약점 진단 정보를 확인할 수 있음

                    

* 단점
   - 내부 버그로 인해 Stream을 정상적으로 가져오지 못해 파일에 따라 상세 분석 정보를 얻지 못할 수 있음

   - 업그레이드를 지원하지 않음 (최종 버전 : v1.1)

   - Drag&Drop을 지원하지 않음

          

2) SSView : [Download]     

* 제작 : MiTeC

* 장점 : Stream을 저장/삽입/수정이 가능함

* 단점
   - 업그레이드를 지원하지 않음 (최종 버전 : v.3.3.0)

   - Drag&Drop을 지원하지 않음

          

이외에도 파이썬으로 작성되어 분석을 지원하는 툴도 존재하는 등 다양한 툴이 있으니 확인해 보기 바란다. 

[ 참고 ]

① Didier Stevens
   - oledump.py

② Decalage
   - olefile - a Python module to read/write MS OLE2 files

   - python-oletools - python tools to analyze OLE files

   - olevba - a tool to extract VBA Macro source code from MS Office documents (OLE and OpenXML)
   - Tools to extract VBA Macro source code from MS Office Documents 

   - oletimes - a tool to extract creation and modification timestamps of all streams storages in OLE files

   - olemeta - a tool to extract all standard properties (metadata) from OLE files such as MS Office

   - OleFileIO_PL : Experimental write features 

   - oleid - a python tool to quickly analyze OLE files 

   - olebrowse - a simple python GUI to browse OLE files and extract streams 

이 글은 Evernote에서 작성되었습니다. Evernote는 하나의 업무 공간입니다. Evernote를 다운로드하세요.