用PDF-Parser工具分析惡意PDF檔案

摘要： PDF-Parser是一個分析PDF檔案的工具，包含以下特徵： 載入和分析objects和headers 提取作者、描述等meta資料 提取有序頁面的文字 支援壓縮的pdf 支援mac OS 羅馬字符集編碼 在text secti...

PDF-Parser是一個分析PDF檔案的工具，包含以下特徵：

• 載入和分析objects和headers

• 提取作者、描述等meta資料

• 提取有序頁面的文字

• 支援壓縮的pdf

• 支援mac OS 羅馬字符集編碼

• 在text sections處理十六進位制和十進位制編碼

• 遵循PSR-0

• 遵循PSR-1

分析惡意PDF檔案

首先建立了一個PDF檔案，並嵌入一個EXE檔案。

Step 1: 啟動惡意pdf分析器pdf-parser

root@kali:~# pdf-parser -h

列出所有PDFParser選項

Step2: 獲取PDF文件的統計資訊

root@kali:~# pdf-parser -a /root/Desktop/template.pdf

Step3: 通過 FlateDecode,ASCIIHexDecode, ASCII85Decode, LZWDecode和 RunLengthDecode傳遞和過濾流資料

root@kali:~# pdf-parser -f /root/Desktop/template.pdf

Step4: 獲得PDF雜湊值

root@kali:~# pdf-parser -H /root/Desktop/template.pdf

Step5: 進行區分大小寫搜尋

root@kali:~# pdf-parser –casesensitive /root/Desktop/template.pdf

Step6: 獲取加入文件的javascripts

pdf-parser –search javascript –raw /root/Desktop/template.pdf

Stats選項表示PDF中統計資料。使用stats可以識別PDF中的一些意外的物件，來描述pdf記錄的特徵。

Search選項會掃描簡介物件中的字串。查詢是不區分大小寫的，而且對混淆方法沒有防禦能力。

Filter選項會對流資料進行過濾，raw選項會使用pdf-parser輸出原始未經加工的資料。

ofollow,noindex" target="_blank">https://gbhackers.com/creating-and-analyzing-a-malicious-pdf-file-with-pdf-parser-tool/