악성코드 분석
맬웨어 식별 훈련 :: 오피스 문서의 포맷 이론
이둥둥
2025. 2. 15. 18:44
MS Office 문서의 두 가지 포맷
CFBF(복합 파일 이진 형식 Compound File Binary Format)
: 여러 파일과 디렉토리를 하나의 파일에 저장하는 마이크로소프트의 파일형식이고
섹터와 클러스터로 이루어져 있는 FATR 구조와 유사함
OOXML(Office Open XML)
: ZIP 형태로 압축된 xml 기반의 파일 포맷, CFBF의 문제(구조 복잡성, 호환문제)를 해결함
메타 정보를 담고있는 XML 파일과 다양한 바이너리 파일이 압축된 형태
| CFBF | OOXML | |
| 형식 | Binary | XML 기반 |
| 구조 | FAT 파일 시스템과 유사 | 메타정보를 담은 XML 파일 + 바이너리 파일 압축된 포맷 |
| 확장자 | DOX, PPT, HWP | DOCX, PPTX, HWPX |
CFBF 파일의 포맷: root directory와 하위 directory, CFBF Header+sector들이 있음
OOXML 파일 포맷:
central directory에 메타정보가 담겨져있음
→ central directory 만 분석해도 파일의 속성정보나 구조를 빠르게 파악할 수 있음
MS Office 문서 분석을 위한 도구 Oletools
CFBF/OOXML/RTF 파일을 분석할 수 있는 파이썬 기반 도구 패키지
악성 문서 파일 식별과 스크립트, 파일 탐지/추출을 위해 사용된다
| CFBF 포맷 분석 도구 | oledump.py |
| OOXML 포맷 분석 도구 | ooxml.py |
| RTF 문서 분석 도구 | rtfobj.py |
| MS Office 문서 파일의 DDE 분석 도구 | msodde.py |
oletools 을 사용한 실습으로 이어가보자