2020年02月05日

Office VBA のマクロ、保存すると Windows Defenderがブロックしてファイルを破壊してくるようになってしまった

いったい何が悪くてこんな介入をされるのだ、、、

2020-02-05_215232.png

2020-02-05_215118.png

2020-02-05_215042.png

2020-02-05_215254.png

2020-02-05_215524.png

最近のWindowsのセキュリティ更新の影響なのか?

それとも最近マクロに対して行ったコーディングがウィルス的動作として問題が起きているのか??

W10 1803 - Windows Defender blocking EXCEL

本当に訳が分からないレベルでマクロのファイルが排除されるので、困っている
1. 7zで圧縮したマクロのファイル ABC.xlam をデスクトップに展開はOK
2. ABC.xlam をコピーする ⇒ ブロックされる
3. ABC.xlam を実行する ⇒ ブロックされる。場合によってはマクロ内のVBAコード部分が消される(破壊される)⇒ 13KBくらいの小さなファイルになってしまう
  
このサイト、怪しいVBAコードをチェックしてくれるPythonツールがあるようなので試しているんだけども。
Using VBA Emulation to Analyze Obfuscated Macros | Decalage
olevba.py っていうコマンドね。
ある程度参考になる分析もしてくれるけど、キーワードを見つけただけで 実際にはコメントアウトしていても報告してくるのでノイズだらけ。
必要があって実装しているコードがあるのに、それら全部 取り除いてしまったらマクロで開発した意味がないわ!!

どうやったらDefenderが誤検知しなくなるか教えてくれい!!

ここからOletoolsというものをダウンロードできる
この中に怪しいマクロ?入りのサンプルファイルがあるようで、、
Chromeだとダウンロードできない(Windowsがブロックしているのか?)
ブロックしないPCでダウンロードして、展開すると アンチウィルスソフトが、検知してそいつを消す。
decalage2/oletools: oletools - python tools to analyze MS OLE2 files (Structured Storage, Compound File Binary Format) and MS Office documents, for malware analysis, forensics and debugging.
Pythonのツール自体は除去されずに残ったので、ツールは使うことができた。

それか、普通にPythonのPIPでインストールすればよかったのかもしれぬ
pip install -U oletools

◆ とりあえずの回避策@2020/2/5
Defenderが検知しているパターンは vbaproject.bin というファイル名を狙い撃ちにしているようだ、、、
つまりこれを参照しているところ(XMLファイル2か所)と被参照側を一緒に変えて、再度ZIPを xlam で作り直せば、、、OKだった。
あまり細かく書いてしまうとまたブロックされかねないのでこのくらいで。
ただし、ファイルコピーがブロックされなくなるだけなので、これを Defenderが厳しいPCでマクロ修正・保存してしまうと 再び アホはExcelによって vbaproject.bin に戻されてしまいその時点で御用となってしまうのであった。合掌。

VBAの「ソースコードをロック」ではソースコードをロックできない - Qiita
@2020/02/05 21:56 | Comment(2) | Windows TIPS

・おすすめ楽天ショップ1:trendyimpact楽天市場店
・おすすめサプリショップ:iHerb.com
・おすすめ楽天ショップ2:上海問屋
Powered by さくらのブログ