用PDF-Parser工具分析惡意PDF檔案
PDF-Parser是一個分析PDF檔案的工具,包含以下特徵:
-
載入和分析objects和headers
-
提取作者、描述等meta資料
-
提取有序頁面的文字
-
支援壓縮的pdf
-
支援mac OS 羅馬字符集編碼
-
在text sections處理十六進位制和十進位制編碼
-
遵循PSR-0
-
遵循PSR-1
分析惡意PDF檔案
首先建立了一個PDF檔案,並嵌入一個EXE檔案。
Step 1: 啟動惡意pdf分析器pdf-parser
root@kali:~# pdf-parser -h
列出所有PDFParser選項
Step2: 獲取PDF文件的統計資訊
root@kali:~# pdf-parser -a /root/Desktop/template.pdf
Step3: 通過 FlateDecode,ASCIIHexDecode, ASCII85Decode, LZWDecode和 RunLengthDecode傳遞和過濾流資料
root@kali:~# pdf-parser -f /root/Desktop/template.pdf
Step4: 獲得PDF雜湊值
root@kali:~# pdf-parser -H /root/Desktop/template.pdf
Step5: 進行區分大小寫搜尋
root@kali:~# pdf-parser –casesensitive /root/Desktop/template.pdf
Step6: 獲取加入文件的javascripts
pdf-parser –search javascript –raw /root/Desktop/template.pdf
Stats選項表示PDF中統計資料。使用stats可以識別PDF中的一些意外的物件,來描述pdf記錄的特徵。
Search選項會掃描簡介物件中的字串。查詢是不區分大小寫的,而且對混淆方法沒有防禦能力。
Filter選項會對流資料進行過濾,raw選項會使用pdf-parser輸出原始未經加工的資料。
ofollow,noindex" target="_blank">https://gbhackers.com/creating-and-analyzing-a-malicious-pdf-file-with-pdf-parser-tool/