Vba2Graph：生成VBA调用图并高亮显示潜在恶意关键字的工具

Vba2Graph是一款用于生成VBA调用图，并高亮显示潜在恶意关键字的工具。该工具旨在使安全研究人员能够快速的分析恶意宏，并更加直观的理解其执行流程。

特性

关键字高亮显示

VBA属性支持

外部函数声明支持

使用 “_Change” 执行触发器Tricky宏

鲜艳的配色方案

优点

方便快速

适用于大多数在野观察到的恶意宏

缺点

静态（无法识别动态解析调用）

示例 Example 1：

Trickbot downloader – 利用对象Resize事件作为初始触发器，紧接着是TextBox_Change触发器。

Example 2：

更多示例可在Examples文件夹中查看。

安装 安装oletools https://github.com/decalage2/oletools/wiki/Install 安装Python依赖包 pip install -r requirements.txt 安装Graphviz

Windows

安装Graphviz msi：

https://graphviz.gitlab.io/_pages/Download/Download_windows.html

将“dot.exe”添加到PATH env变量或是：

set PATH=%PATH%;C:\Program Files (x86)\Graphviz2.38\bin

Mac

brew install graphviz

Ubuntu

sudo apt-get install graphviz

Arch

sudo pacman -S graphviz 使用（所有平台） olevba malicious.doc | python vba2graph.py -c 1 python vba2graph.py -i olevba_output.bas -o output_folder 输出

你将在output文件夹中看到3个文件夹：

png：您要查找的实际图像

dot：用于创建图像的文件

bas：脚本识别的VBA函数代码（用于调试）