it-swarm-ja.com

PDFエクスプロイトをチェックする

PDFエクスプロイトをチェックする方法はありますか?私はほとんどの場合Linuxを使用していますが、WindowsでもPDFを読まなければならないことがあるので、=を確認する必要があります。 PDFクリーンです。WindowsではAcrobatReaderを使用し、LinuxではEvinceを使用しています。

7
sukhbir

以下は、 Remote-Exploit Forums のモデレーター( Lupin )の投稿で、非常に役に立ちました。

悪意のあるPDFの分析に使用する方法は次のとおりです。

私はツールpdfidpdf-parserfrom ここ 。過去にもpdftkを使用していましたが、最近はあまり役に立たなくなっています。

プロセス:

  1. pdfidを使用してPDFドキュメントを分析します。 pdfidは、PDFにJavascriptが含まれているかどうか、自動実行機能、およびページ数を示します。 Javascriptと自動実行機能を備えた1ページのドキュメントは疑わしいです。
  2. Javascriptが存在する場合は、ドキュメントからJavascriptを抽出して、その目的を判断します。 Javascriptがプレーンテキストに含まれている場合があります。その場合は、文字列ユーティリティを使用して抽出できます。それ以外の場合は、pdf-parserを使用して、特定のタイプのエンコードされたJavascriptを抽出できます。
  3. 悪意のあるJavascriptには、その真の目的を偽装するための難読化が含まれていることがよくあります。この難読化を取り除くために、スクリプトを少し変更してデバッグを容易にし(たとえば、evalステートメントから変数にコードを割り当てる)、Rhino Javascriptデバッガーを使用して、実行時にコードがどのように変換されるかを示します。
  4. JavascriptベースのPDFエクスプロイトの多くは、多くの場合、バッファオーバーフローを伴い、シェルコードは多くの場合、Unicode形式です。 Perlスクリプト このタイプのシェルコードをCプログラム(実際にはいくつかのラッパーコードを含むCスタイルのシェルコード)に変換するために作成しました。このプログラムは、標準のバイナリ分析手法を使用してさらに分析するためにコンパイルできます。

PDFエクスプロイトはJavascriptがなくても可能ですが、実際には、野生のもののほとんどがそれを使用しているようです。確かに私が見たものはそれを持っています。

ClamAV をインストールして使用できます。

1
kmarsh