2015_лекции / Лекция 4.1 Анализ вредоносных pdf-файлов
.pdf JavaScript-обфускация
Внедрение PDF внутрь PDF
Исследование файла антивирусным ПО
сканирование VirusTotal)
Анализ структуры - поиск «интересных» элементов, просмотр текстовым редактором
pdfparser.py, pdfid.py, vi и т.д.
•Если файл сжат, выполняем его расшифровку, и вновь выполняем анализ структуры
pdftk, pdfparser
Если javascript-код обфусцирован, выполняем его отладку с расшифрованием закодированного кода (в безопасной среде)
SpiderMonkey
Извлечение и анализ шелл-кода
sctest (libemu)
Пример 1
Материалы подготовлена на основе
M. Ab Rahman. Getting Owned By Malicious PDF – Analysis http://www.sans.org/reading-room/whitepapers/malicious/owned-malicious-pdf- analysis-33443
Пример 2 – сжатый файл
Пример 3 – Обфусцированный JavaScriptкод