NgMSon
Well-Known Member
-
22/03/2017
-
747
-
669 bài viết
6 công cụ hỗ trợ phân tích tệp tin PDF độc hại
Các tệp PDF độc hại thường được sử dụng như một phần của các cuộc tấn công máy tính nhắm mục tiêu và có quy mô lớn. Việc phân tích các tệp PDF để hiểu các mối đe doạ liên quan là một kỹ năng ngày càng quan trọng đối với các nhà phân tích pháp y kỹ thuật số. Dưới đây là 6 công cụ miễn phí bạn có thể cài đặt trên hệ thống của bạn và sử dụng cho mục đích này.
Phân tích một tập tin PDF liên quan đến việc kiểm tra, giải mã các đối tượng đáng ngờ PDF có thể được sử dụng để khai thác một lỗ hổng trong Adobe Reader và thực hiện tải trọng độc hại. Có một số lượng ngày càng tăng các công cụ được thiết kế để hỗ trợ cho quá trình này, bao gồm:
+ PDF Tools của Didier Stevens là bộ công cụ cổ điển đã thiết lập nền tảng cho sự hiểu biết của chúng ta về quá trình phân tích PDF. Nó bao gồm pdfid.py để nhanh chóng quét PDF cho các đối tượng nguy hiểm và hữu ích nhất, pdf-parser.py để kiểm tra nội dung của chúng.
+ PDF Stream Dumper của "Dave" là một chương trình Windows mạnh mẽ kết hợp một số công cụ phân tích PDF dưới một GUI thống nhất. Nó cho phép bạn khám phá nội dung PDF, giải mã nội dung đối tượng, deobfuscate JavaScript, kiểm tra shellcode, v.v.
+ Jsunpack-n của Blake Hartstein là một công cụ dòng lệnh mô phỏng một trình duyệt khi phân tích các trang web độc hại. Ngoài việc hỗ trợ nhiều tính năng khác, công cụ này bao gồm tập lệnh pdf.py để trích xuất JavaScript được nhúng trong các tệp PDF.
+ Peepdf của Jose Miguel Esparza là một công cụ dòng lệnh tương tác cho phép người dùng khám phá và phân tích nội dung của các tệp PDF. Các tính năng của nó bao gồm kiểm tra cấu trúc của tệp tin, phân tích nội dung đối tượng, cũng như giải mã JavaScript và trình bao mã.
+ Origami của Guillaume Delugré và Fred Raynal là một khuôn mẫu Ruby để phân tích cú pháp, phân tích và tạo các tệp PDF. Ngoài việc cung cấp cho các lập trình viên có khả năng tự động tương tác với PDF, nó bao gồm một tập lệnh pdfscan.rb để quét PDF cho các đối tượng nguy hiểm và extractjs.rb để giải nén JavaScript được nhúng trong tệp.
+ MalObjClass của Brandon Dixon cung cấp một khuôn khổ Python để xây dựng một đối tượng JSON thể hiện các thành phần của một tệp PDF. Khả năng này cho phép các lập trình dễ dàng phân tích, kiểm tra và giải mã các đối tượng PDF độc hại. Công cụ thậm chí bao gồm khả năng quét tập tin với VirusTotal.
Phân tích một tập tin PDF liên quan đến việc kiểm tra, giải mã các đối tượng đáng ngờ PDF có thể được sử dụng để khai thác một lỗ hổng trong Adobe Reader và thực hiện tải trọng độc hại. Có một số lượng ngày càng tăng các công cụ được thiết kế để hỗ trợ cho quá trình này, bao gồm:
+ PDF Tools của Didier Stevens là bộ công cụ cổ điển đã thiết lập nền tảng cho sự hiểu biết của chúng ta về quá trình phân tích PDF. Nó bao gồm pdfid.py để nhanh chóng quét PDF cho các đối tượng nguy hiểm và hữu ích nhất, pdf-parser.py để kiểm tra nội dung của chúng.
+ PDF Stream Dumper của "Dave" là một chương trình Windows mạnh mẽ kết hợp một số công cụ phân tích PDF dưới một GUI thống nhất. Nó cho phép bạn khám phá nội dung PDF, giải mã nội dung đối tượng, deobfuscate JavaScript, kiểm tra shellcode, v.v.
+ Jsunpack-n của Blake Hartstein là một công cụ dòng lệnh mô phỏng một trình duyệt khi phân tích các trang web độc hại. Ngoài việc hỗ trợ nhiều tính năng khác, công cụ này bao gồm tập lệnh pdf.py để trích xuất JavaScript được nhúng trong các tệp PDF.
+ Peepdf của Jose Miguel Esparza là một công cụ dòng lệnh tương tác cho phép người dùng khám phá và phân tích nội dung của các tệp PDF. Các tính năng của nó bao gồm kiểm tra cấu trúc của tệp tin, phân tích nội dung đối tượng, cũng như giải mã JavaScript và trình bao mã.
+ Origami của Guillaume Delugré và Fred Raynal là một khuôn mẫu Ruby để phân tích cú pháp, phân tích và tạo các tệp PDF. Ngoài việc cung cấp cho các lập trình viên có khả năng tự động tương tác với PDF, nó bao gồm một tập lệnh pdfscan.rb để quét PDF cho các đối tượng nguy hiểm và extractjs.rb để giải nén JavaScript được nhúng trong tệp.
+ MalObjClass của Brandon Dixon cung cấp một khuôn khổ Python để xây dựng một đối tượng JSON thể hiện các thành phần của một tệp PDF. Khả năng này cho phép các lập trình dễ dàng phân tích, kiểm tra và giải mã các đối tượng PDF độc hại. Công cụ thậm chí bao gồm khả năng quét tập tin với VirusTotal.