[악성문서] 오피스 문서의 포멧

OFFICE 문서의 확장자

대표적으로 사용되는 MS OFFICE는 크게 두가지 포맷을 사용합니다.

#CFVF

(Compound File Binary Format)
과거에 사용했던 포멧
EX) DOC, XLS
파일 시스템을 모사한 개념입니다. FAT를 유사하게 모사한 파일 포멧.
CFBF의 구조의 복잡성, 다른 소프트웨어와 호환 문제 -> 2000년대 중반 새로운 포멧 발표한것이 OOXML이다.

#OOXML

(Office Open XML)
최근에 사용하는 포멧
EX) DOCX, XLSX

CFBF와 OOXML 차이점

CFBF

CFBF (Compound File Binary Format) -마이크로소프트에서 개발 하였으며 구버전 MS오피스 프로그램에서 주로 사용되었음 -디스크 파일 시스템과 같이 하나의 파일내에 다수의 파일과 폴더구조를논 리적으로 담도록 구현한 포멧 -COMPOUND FILE, COMPOUND DOCUMENT FILE,COMPOSITE DOCUMENT FILE V2등으로도불림 -해당 파일 포멧을 사용하는 확장자는 DOC,PPT,XLS,MSL,HWP등이있음

OOXML

OOXML (Office open XML) -XML파일을 기반으로한 ZIP 기반 압축 파일 포맷 -파일내 XML 파일과 다양한 바이너리파일이 압축되어있으며 XML 파일은 각종 메타정보를 담고 있음 -마이크로소프트에서 개발하였으며 2000년대에 오면서 MS오피스프로그램에서 정식으로 사용되기 시작 -해당파일 포멧을 사용하는 확장자는 DOCX,PPTX,XMLX,HWPX등이있음

MS오피스문서분석에사용되는공개도구

OLETOOLS

-“oletools”는CFBF포맷으로이루어진파일을분석할수있는파이썬기반의도구패키지 -단순히 CFBF 포맷 분석 도구(oledump.py)뿐만이 아니라 OOXML 포맷 분석 도구，RTF문서 분석 도구 MS오피스파일의 DDE(Dynamic Data Exchange) 분석 도구등 매우 다양한 도구들을 포함하고 있음 -악성문서파일을식별(Triage)하고，내장된악성개체（파일，스크립트등）를탐지및 추출 하는데 유용하게 사용될수있음 OLETOOLS
CFBF포멧분석도구
oledump.py
00XML포멧분석도구
………..ooxmlpy
RTF문서분석도구
………….rtfobjpy
MS Office문서파일의
DDE분석도구