Antworten:
Das Folgende ist der Beitrag eines Moderators ( Lupin ) von Remote-Exploit-Foren, den ich sehr hilfreich fand.
Hier ist die Methode, mit der ich schädliche PDFs analysiere:
Ich benutze die Werkzeuge
pdfidundpdf-parservon hier aus . In der Vergangenheit habe ich auch verwendetpdftk, aber ich finde das in letzter Zeit weniger nützlich.Der Prozess:
- Verwenden Sie
pdfiddiese Option, um das PDF-Dokument zu analysieren.pdfidkann Ihnen sagen, ob ein PDF Javascript sowie Autorun-Funktionen enthält und wie viele Seiten es enthält. Ein einseitiges Dokument mit Javascript- und Autorun-Funktion ist verdächtig.- Wenn Javascript vorhanden ist, extrahieren Sie es aus dem Dokument, um seinen Zweck zu bestimmen. Manchmal ist das Javascript im Klartext enthalten. In diesem Fall können Sie es einfach mit dem Dienstprogramm Strings extrahieren. Andernfalls können Sie den PDF-Parser verwenden, um bestimmte Arten von codiertem Javascript zu extrahieren.
- Bösartiges Javascript enthält oft eine Verschleierung, um seinen wahren Zweck zu verschleiern. Um diese Verschleierung zu beseitigen, ändere ich das Skript ein wenig, um das Debuggen zu vereinfachen (z. B. den Code aus eval-Anweisungen stattdessen einer Variablen zuweisen), und verwende den Rhino Javascript-Debugger, um mir zu zeigen, wie der Code während der Ausführung transformiert wird.
- Viele der Javascript-basierten PDF-Exploits beinhalten häufig Pufferüberläufe, und der Shellcode liegt häufig im Unicode-Format vor. Ich habe ein Perl-Skript , das ich geschrieben habe, um diese Art von Shellcode in ein C-Programm zu konvertieren (eigentlich nur C-Shellcode mit etwas Wrapper-Code), das dann kompiliert werden kann, um mit Standard-Binäranalysetechniken weiter analysiert zu werden.
Ich werde bemerken, dass PDF-Exploits ohne Javascript möglich sind, aber in der Praxis scheinen die meisten in freier Wildbahn es zu verwenden. Sicher haben die, die ich gesehen habe, es.