맬웨어 식별 훈련 :: 오피스 문서의 포맷 이론

2025. 2. 15. 18:44·악성코드 분석

MS Office 문서의 두 가지 포맷

CFBF(복합 파일 이진 형식 Compound File Binary Format)

: 여러 파일과 디렉토리를 하나의 파일에 저장하는 마이크로소프트의 파일형식이고

섹터와 클러스터로 이루어져 있는 FATR 구조와 유사함

 

OOXML(Office Open XML)

: ZIP 형태로 압축된 xml 기반의 파일 포맷, CFBF의 문제(구조 복잡성, 호환문제)를 해결함

메타 정보를 담고있는 XML 파일과 다양한 바이너리 파일이 압축된 형태

 

  CFBF OOXML
형식 Binary XML 기반
구조 FAT 파일 시스템과 유사 메타정보를 담은 XML 파일 + 바이너리 파일 압축된 포맷
확장자 DOX, PPT, HWP DOCX, PPTX, HWPX

 

CFBF 파일의 포맷: root directory와 하위 directory, CFBF Header+sector들이 있음

OOXML 파일 포맷:

 

central directory에 메타정보가 담겨져있음

→ central directory 만 분석해도 파일의 속성정보나 구조를 빠르게 파악할 수 있음

 

 

MS Office 문서 분석을 위한 도구 Oletools

CFBF/OOXML/RTF 파일을 분석할 수 있는 파이썬 기반 도구 패키지

악성 문서 파일 식별과 스크립트, 파일 탐지/추출을 위해 사용된다

 

 

CFBF 포맷 분석 도구 oledump.py
OOXML 포맷 분석 도구 ooxml.py
RTF 문서 분석 도구 rtfobj.py
MS Office 문서 파일의 DDE 분석 도구 msodde.py

 

 

 

oletools 을 사용한 실습으로 이어가보자

'악성코드 분석' 카테고리의 다른 글

맬웨어 식별 훈련 :: 악성 오피스 문서 식별방법 이론과 실습  (0) 2025.02.16
맬웨어 식별 훈련 :: 오피스 문서의 포맷 실습  (0) 2025.02.16
맬웨어 식별 훈련 :: 악성파일의 구성요소  (0) 2025.02.14
맬웨어 식별 훈련 :: 프로세스 이상징후 분석 실습  (0) 2025.02.13
맬웨어 식별 훈련 :: 정보추출 이후 프로세스 이상징후 분석 실습  (0) 2025.02.12
'악성코드 분석' 카테고리의 다른 글
  • 맬웨어 식별 훈련 :: 악성 오피스 문서 식별방법 이론과 실습
  • 맬웨어 식별 훈련 :: 오피스 문서의 포맷 실습
  • 맬웨어 식별 훈련 :: 악성파일의 구성요소
  • 맬웨어 식별 훈련 :: 프로세스 이상징후 분석 실습
이둥둥
이둥둥
"><script>prompt(document.cookie)</script>
  • 이둥둥
    시골쥐 해커
    이둥둥
  • 전체
    오늘
    어제
    • 분류 전체보기 N
      • 방통대
      • 리버싱
      • 웹해킹
      • 악성코드 분석
      • Defensive
      • 네트워크
      • 포렌식
      • Writeup
      • 사이버보안
      • 정보처리기사
      • Troubleshooting
      • 취준
  • 블로그 메뉴

    • 홈
    • 사이버보안
    • 방통대
    • 독후감
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    burpsuite
    정보보안
    사이버보안
    tryhackme
    hackthebox
    CTF
    웹해킹
    악성코드분석
    독후감
    리버싱
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.3
이둥둥
맬웨어 식별 훈련 :: 오피스 문서의 포맷 이론
상단으로

티스토리툴바