VBA偽装ソース


概要

VBAには実行されるソース(実体)と表示されるソース(表示)があります。
この2つのソースは通常は同じ内容ですが、表示されるソースのみ変更することで、
実体と表示が別の内容になり、ソースと違った内容を実行させることができます。
この技術はVBA Stompingというマルウェアで使われるもので詳細な作り方はここでは説明しません。

性質

偽装ソースの性質について具体的に見ていきます。
以下のファイルは、ソースを偽装しています。


マクロを有効にせずにソースを表示させました。


このブックを開くときに「ABC」と表示されます。
次にマクロを有効にしてみます。


「XYZ」と表示されました。
そしてソースを見ると、ソースも「XYZ」に変わってました。


このファイルは実体は「XYZ」で表示を「ABC」に偽装していたファイルでした。
上記の通り、偽装ファイルはマクロを有効にすると実体を実行して、ソースも実体になって正体を現します。

実行する前にソースを確認して保存すると、実体もソースで上書きされます。
この場合は隠されていた実体の「XYZ」がなくなり、表示も実体も「ABC」になります。
この例のファイルは32ビットのExcel2013で作成しましたが、
作成したバージョンと異なるバージョンのExcelで実行した場合も同様に実体が表示の「ABC」で上書きされます。

VBAロック解除君でロック解除すると、実行することなく、実体で表示を上書きすることがわかりました。
この例の場合は、隠されていた「XYZ」がソースに表示されるようになります。


VBAロック解除君に戻ります
トップに戻ります

お探しの情報は見つかりましたか?
まだの方はこちらをどうぞ。
Google

PageTop