2015_лекции / Лекция 4.1 Анализ вредоносных pdf-файлов
.pdfФормат PDF-файла. http://www.adobe.com/devnet/pdf/pdf_reference.html
Д.Сноу. Ищем эксплойты в PDF-документах своими силами. ■Взлом от Джон Сноу - Sep 26, 2014 https://xakep.ru/2014/09/26/search-document- exploit/
Д. Стивенс. Борьба с вредоносными программами в файлах PDF. Закрываем уязвимые места PDF http://www.osp.ru/win2000/2011/11/13013119/
А. Ефимюк. Анализ подозрительных PDF файлов http://habrahabr.ru/company/pentestit/blog/209110/
http://resources.infosecinstitute.com/analyzing-malicious-pdf/
M. Ab Rahman. Getting Owned By Malicious PDF – Analysis http://www.sans.org/reading-room/whitepapers/malicious/owned-malicious- pdf-analysis-33443
С. Рублев Враг внутри PDF http://www.ptsecurity.ru/download/rublev- pdf.pdf
А Шевченко Атака через браузер. Анализ вредоносных Flash-
объектов и документов в формате PDF. http://www.nobunkum.ru/ru/flash
Portable Document Format
Низкая требовательность к печатающим устройствам
Высокая компактность, возможность работы с разными алгоритмами сжатия данных
Совместимость с мультимедийным контентом, возможность встраивания мультимедийных и гипертекстовых объектов
возможность настройки уровней безопасности при работе с документом (блокировка открытия, копирования и редактирования)
Основные элементы формата
boolean-значения;
числа (Numbers);
Строки (Strings);
имена (Names);
массивы (числа , упорядоченный набор объектов);
словари (Dictionaries) — коллекция элементов, индексируемых по имени;
потоки (Streams) — обычно содержащие большой объем данных;
Null-объекты.
Объект Словарь
значение
Ключ
Косвенная адресация на объекты
Объект поток (Stream)
Обычный поток
Ключ Фильтр указывает, есть ли сжатие или нет
Сжатый поток
Возможные значения ключа Filter
ASCII85Decode, устаревший фильтр, кодирует поток в 7-битный
ASCII
ASCIIHexDecode, аналог ASCII85Decode, но менее компактный
FlateDecode, наиболее часто используемый ключ, обозначает алгоритм, построенный на основе алгоритма DEFLATE или Zip
LZWDecode , устаревший фильр, обозначает алгоритм сжатия на основе LZW алгоритма
RunLengthDecode , простой алгоритм сжатия, использующий для потоков с повторяющимися данными DCTDecode, алгоритм на основе стандарта JPEG
CCITTFaxDecode, алгоритм на основе стандарта сжатия CCITT
JBIG2Decode, алгоритм на основе стандарта сжатия JBIG2, используемый в формате PDF, начиная с версии 1.4
JPXDecode, алгоритм на основе стандарта сжатия JPEG 2000, используемый в формате PDF, начиная с версии 1.5