用PDF-Parser工具分析恶意PDF文件

2018-11-20 16,720

PDF-Parser是一个分析PDF文件的工具,包含以下特征:

  • 加载和分析objects和headers

  • 提取作者、描述等meta数据

  • 提取有序页面的文本

  • 支持压缩的pdf

  • 支持mac OS 罗马字符集编码

  • 在text sections处理十六进制和十进制编码

  • 遵循PSR-0

  • 遵循PSR-1


分析恶意PDF文件

首先创建了一个PDF文件,并嵌入一个EXE文件。

Step 1: 启动恶意pdf分析器pdf-parser

root@kali:~# pdf-parser -h

列出所有PDFParser选项

Step2: 获取PDF文档的统计信息

root@kali:~# pdf-parser -a /root/Desktop/template.pdf

Analyzing a Malicious PDF File

Step3: 通过 FlateDecode,ASCIIHexDecode, ASCII85Decode, LZWDecode和 RunLengthDecode传递和过滤流数据

root@kali:~# pdf-parser -f /root/Desktop/template.pdf

Analyzing a Malicious PDF File

Analyzing a Malicious PDF File

Step4: 获得PDF哈希值

root@kali:~# pdf-parser -H /root/Desktop/template.pdf

Analyzing a Malicious PDF File

Step5: 进行区分大小写搜索

root@kali:~# pdf-parser –casesensitive /root/Desktop/template.pdf

Analyzing a Malicious PDF File

Step6: 获取加入文档的javascripts

pdf-parser –search javascript –raw /root/Desktop/template.pdf

Analyzing a Malicious PDF File

Stats选项表示PDF中统计数据。使用stats可以识别PDF中的一些意外的对象,来描述pdf记录的特征。

Search选项会扫描简介对象中的字符串。查询是不区分大小写的,而且对混淆方法没有防御能力。

Filter选项会对流数据进行过滤,raw选项会使用pdf-parser输出原始未经加工的数据。

https://gbhackers.com/creating-and-analyzing-a-malicious-pdf-file-with-pdf-parser-tool/


本文作者:ang010ela

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/81499.html

Tags:
评论  (0)
快来写下你的想法吧!

ang010ela

文章数:56 积分: 711

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号