xlsx mit VBA

Alle anderen Themen ...

Moderator: ModerationP

xlsx mit VBA

Beitragvon Fennek » 01. Jul 2020, 09:10

Hallo,

entgegen der allgemeinen Meinung können auch in xlsx - Dateien VBA-Makro enthalten sein. Als "proof of concept" sind 2 harmlose Dateien angefügt. Beide Dateien enthalten ein Modul mit dem Befehl "beep", aber keinem Autostart.

Mit "unzip-pen" ist es mit 7zip nicht erkennbar, deswegen ein kleiner Powershell-Code:

Code: Alles auswählen
$Pfad = $env:USERPROFILE + '\desktop\'
$Files = get-childitem $Pfad -Filter *.xlsx
Write-Host " `n ---------------- `n"

foreach ($File in $Files) {
    $Bytes = get-content ($Pfad + $File) -Encoding Byte
    [boolean]$Bo = $false

    for ($B=0; $B -le $Bytes.Count; $B = $B + 2) {
        if ($Bytes[$B] -eq 80 -and $Bytes[$B+1] -eq 75) {
            if ($Bytes[$B+2] -eq 5 -and $Bytes[$B+3] -eq 6) {
                write-host ('End at: ',$b)
                if ($B -lt $Bytes.Count - 25) {$Bo = $true}
            }
        }
    }
    write-host ($File, $bytes.Count)
    if ($Bo) {write-host ">>>>>>>>> Warnung >>>>>>>>>>> `n`n"}
    Write-Host " `n ---------------- `n"
}


Es werden alle xlsx-Dateien auf dem Desktop geprüft.

mfg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von Fennek am 02. Jul 2020, 22:16, insgesamt 3-mal geändert.
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 726
Registriert: 12. Feb 2016, 18:56

Re: Office forensic

Beitragvon mumpel » 01. Jul 2020, 10:28

Und was steht auf dieser Seite?
Benutzeravatar
mumpel
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8219
Registriert: 09. Jan 2005, 15:20
Wohnort: Lindau (B)

Re: xlsx mit VBA

Beitragvon mumpel » 03. Jul 2020, 03:23

Das ist alles alter Kaffee. :wink:
Benutzeravatar
mumpel
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8219
Registriert: 09. Jan 2005, 15:20
Wohnort: Lindau (B)

Re: xlsx mit VBA

Beitragvon Fennek » 03. Jul 2020, 15:06

Zumindest LibreOffice, vielleicht auch Excel, öffnet xls-Dateien, die im Explorer in xlsx umbenannt wurden.

Dieser Powershel-Code prüft die ebenfalls die "Magic-Bytes" aller xlsx auf dem Desktop:

Code: Alles auswählen
$Pfad = $env:USERPROFILE + '\desktop\'
$Files = get-childitem $Pfad -Filter *.xlsx
Write-Host " `n ---------------- `n"

foreach ($File in $Files) {

    write-host $File
    $Bytes = get-content ($Pfad + $File) -Encoding Byte -ReadCount 22 -TotalCount 22
        write-host ('H: ', "{0:X2}" -f $Bytes) -NoNewline
        Write-Host
        if ($Bytes[0] -ne 80 -or $Bytes[1] -ne 75) {
            write-host '>>>>>>>>> Falsches Dateiformat <<<<<<<<<<'}
    $Bytes = get-content ($Pfad + $File) -Encoding Byte -Tail 22  -ReadCount 22 #-TotalCount 16
        write-host ('T: ', "{0:X2}" -f $Bytes) -NoNewline
        Write-Host
   
   
    $Bytes = get-content ($Pfad + $File) -Encoding Byte
    [boolean]$Bo = $false

    for ($B=0; $B -le $Bytes.Count; $B = $B + 2) {
        if ($Bytes[$B] -eq 80 -and $Bytes[$B+1] -eq 75) {
            if ($Bytes[$B+2] -eq 5 -and $Bytes[$B+3] -eq 6) {
                write-host ('End at: ',$b)
                if ($B -lt $Bytes.Count - 25) {$Bo = $true}
                # NUR P (post)
            }
        }

    }
    write-host ('Bytes.Count', $bytes.Count)
    if ($Bo) {write-host ">>>>>>>>> Warnung <<<<<<<<< `n`n"}
    Write-Host " `n ---------------- `n"
}
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 726
Registriert: 12. Feb 2016, 18:56


Zurück zu Offtopic (provisorisch)

Wer ist online?

Mitglieder in diesem Forum: HKindler, lupo1 und 2 Gäste

cron