2015_лекции / Лекция 4.1 Анализ вредоносных pdf-файлов

 JavaScript-обфускация

 Внедрение PDF внутрь PDF

Исследование файла антивирусным ПО

сканирование VirusTotal)

Анализ структуры - поиск «интересных» элементов, просмотр текстовым редактором

pdfparser.py, pdfid.py, vi и т.д.

•Если файл сжат, выполняем его расшифровку, и вновь выполняем анализ структуры

pdftk, pdfparser

Если javascript-код обфусцирован, выполняем его отладку с расшифрованием закодированного кода (в безопасной среде)

SpiderMonkey

Извлечение и анализ шелл-кода

sctest (libemu)

 Пример 1

Материалы подготовлена на основе

M. Ab Rahman. Getting Owned By Malicious PDF – Analysis http://www.sans.org/reading-room/whitepapers/malicious/owned-malicious-pdf- analysis-33443

 Пример 2 – сжатый файл

Пример 3 – Обфусцированный JavaScriptкод