导出txt文件宏_XLM宏反混淆工具：提取和反混淆XLM宏

最新推荐文章于 2024-08-21 08:43:10 发布

Air君陈怡帆

最新推荐文章于 2024-08-21 08:43:10 发布

阅读量471

点赞数

文章标签：导出txt文件宏

本文链接：https://blog.csdn.net/weixin_34026997/article/details/112659448

版权

XLMMacroDeobfuscator是一个用于解码混淆XLM宏的工具，支持xls, xlsm, 和 xlsb格式。通过内部的XLM仿真器，无需完全执行代码即可进行解析。该工具提供了命令行接口，可以导出JSON格式的输出，且可在不安装MS Excel的情况下在多种操作系统上运行。" 126015337,14779855,Spring源码编译全攻略：从问题到解决,"['spring', 'java', 'kotlin', 'gradle', '源码编译']

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

XLM宏反混淆器

XLMMacroDeobfuscator可用于解码模糊的XLM宏(也称为Excel 4.0宏)。它利用内部XLM仿真器来解释宏，而无需完全执行代码。

它同时支持xls，xlsm和xlsb格式。

它使用xlrd2，pyxlsb2和它自己的解析器分别从xls，xlsb和xlsm文件中提取单元格和其他信息。

您还可以在xlm-macro-en.lark中找到XLM语法

安装仿真器

使用pip安装

pip install XLMMacroDeobfuscator

安装最新开发

pip install -U https://github.com/DissectMalware/xlrd2/archive/master.zip
pip install -U https://github.com/DissectMalware/pyxlsb2/archive/master.zip
pip install -U https://github.com/DissectMalware/XLMMacroDeobfuscator/archive/master.zip

运行模拟器

要对Excel文档中的宏进行模糊处理：

xlmdeobfuscator --file document.xlsm

要仅获取经过模糊处理的宏，并且没有任何缩进，请执行以下操作：

xlmdeobfuscator --file document.xlsm --no-indent --output-formula-format "[[INT-FORMULA]]"

以JSON格式导出输出

xlmdeobfuscator --file document.xlsm --export-json result.json

要查看示例JSON输出，请查看此链接。

使用配置文件

xlmdeobfuscator --file document.xlsm -c default.config

default.config文件必须是有效的json文件，例如：

{“ no-indent ”：true，“ output-formula-format ”：“ [[CELL-ADDR]] [[INT-FORMULA]] ”，“ non-interactive ”：true，“ output-level ”：1 
}

命令行


          _        _______
|\     /|( \      (       )
( \   / )| (      | () () |
 \ (_) / | |      | || || |
  ) _ (  | |      | |(_)| |
 / ( ) \ | |      | |   | |
( /   \ )| (____/\| )   ( |
|/     \|(_______/|/     \|
   ______   _______  _______  ______   _______           _______  _______  _______ _________ _______  _______
  (  __  \ (  ____ \(  ___  )(  ___ \ (  ____ \|\     /|(  ____ \(  ____ \(  ___  )\__   __/(  ___  )(  ____ )
  | (  \  )| (    \/| (   ) || (   ) )| (    \/| )   ( || (    \/| (    \/| (   ) |   ) (   | (   ) || (    )|
  | |   ) || (__    | |   | || (__/ / | (__    | |   | || (_____ | |      | (___) |   | |   | |   | || (____)|
  | |   | ||  __)   | |   | ||  __ (  |  __)   | |   | |(_____  )| |      |  ___  |   | |   | |   | ||     __)
  | |   ) || (      | |   | || (  \ \ | (      | |   | |      ) || |      | (   ) |   | |   | |   | || (\ (
  | (__/  )| (____/\| (___) || )___) )| )      | (___) |/\____) || (____/\| )   ( |   | |   | (___) || ) \ \__
  (______/ (_______/(_______)|/ \___/ |/       (_______)\_______)(_______/|/     \|   )_(   (_______)|/   \__/


XLMMacroDeobfuscator(v0.1.5) - https://github.com/DissectMalware/XLMMacroDeobfuscator

usage: deobfuscator.py [-h] [-c FILE_PATH] [-f FILE_PATH] [-n] [-x] [-2]
                       [--with-ms-excel] [-s] [-d DAY]
                       [--output-formula-format OUTPUT_FORMULA_FORMAT]
                       [--no-indent] [--export-json FILE_PATH]
                       [--start-point CELL_ADDR] [-p PASSWORD]
                       [-o OUTPUT_LEVEL]

optional arguments:
  -h, --help            show this help message and exit
  -c FILE_PATH, --config_file FILE_PATH
                        Specify a config file (must be a valid JSON file)
  -f FILE_PATH, --file FILE_PATH
                        The path of a XLSM file
  -n, --noninteractive  Disable interactive shell
  -x, --extract-only    Only extract cells without any emulation
  -2, --no-ms-excel     [Deprecated] Do not use MS Excel to process XLS files
  --with-ms-excel       Use MS Excel to process XLS files
  -s, --start-with-shell
                        Open an XLM shell before interpreting the macros in
                        the input
  -d DAY, --day DAY     Specify the day of month
  --output-formula-format OUTPUT_FORMULA_FORMAT
                        Specify the format for output formulas ([[CELL-ADDR]],
                        [[INT-FORMULA]], and [[STATUS]]
  --no-indent           Do not show indent before formulas
  --export-json FILE_PATH
                        Export the output to JSON
  --start-point CELL_ADDR
                        Start interpretation from a specific cell address
  -p PASSWORD, --password PASSWORD
                        Password to decrypt the protected document
  -o OUTPUT_LEVEL, --output-level OUTPUT_LEVEL
                        Set the level of details to be shown (0:all commands,
                        1: commands no jump 2:important commands 3:strings in
                        important commands).

图书馆

以下示例显示了如何在python项目中使用XLMMacroDeobfuscator来对XLM宏进行反模糊处理：

from XLMMacroDeobfuscator.deobfuscator import process_file

result = process_file(file='path/to/an/excel/file',

            noninteractive= True,noindent= True,output_formula_format='[[CELL_ADDR]], [[INT-FORMULA]]',return_deobfuscated= True)for record in result:print(record)