zoukankan      html  css  js  c++  java
  • 恶意PDF文档分析记录

    0x1 PDF是什么

    PDF(便携式文件格式,Portable Document Format)是由Adobe Systems在1993年用於文件交换所发展出的文件格式。
    因为PDF的文件格式性质广泛用于商业办公,引起众多攻击者对其开展技术研究,在一些APT(Advanced Persistent Threat)攻击中。针对特定目标投递含有恶意代码的PDF文档,安全意识薄弱的用户只要打开PDF文档就会中招。

    0x2 PDF解析工具

    PdfStreamDumper : 这是一款可以对恶意的PDF文档进行分析的免费工具

    以下是利用漏洞【CVE-2010-0188】的恶意PDF文档样本,文档中的Payload为异或加密。


    图1

    pdfid.py : 这个工具不是PDF解析器,但是它会扫描一个文件来寻找特定的PDF关键字,让我们识别包含JavaScript的PDF文件。

    pdfid.py xxx.pdf
    


    图2

    0x3 PDF格式解析

    使用pdfid.py解析之后会列出PDF当前的格式字段。

    C:>python pdfid.py xx.pdf
    
    PDFiD 0.2.1 93c803.pdf
    
     PDF Header: %PDF-1.7
     obj                   60
     endobj                60
     stream                30
     endstream             30
     xref                   1
     trailer                1
     startxref              1
     /Page                  3
     /Encrypt               0
     /ObjStm                0
     /JS                    0
     /JavaScript            0
     /AA                    0
     /OpenAction            0
     /AcroForm              0
     /JBIG2Decode           3
     /RichMedia             0
     /Launch                0
     /EmbeddedFile          0
     /XFA                   0
     /Colors > 2^24         0
    

    每一个PDF文件都包含有前7个字段,也有可能不包含strea和endstream。据说有一些ODF文件没有xref或则trailer,但是这种情况比较少见。如果一个PDF文件没有xref或者trailer关键字段,那么可以确定它不是恶意的PDF文件。

    /xref 交叉引用表,描述每个间接对象的编号、版本和绝对的文件位置。PDF文档中的第一个索引必须从版本65535的0号对象开始,标识符/xref后面的第一个数字是第一个间接对象(即0号对象)的编号,第二个数字是/xref(交叉引用表)的大小。

    /Page指明PDF文件的页数,大多数恶意PDF文件仅仅只有一页

    /Encrypt指明PDF文件有数字水印或者是被加密过的。

    /ObjStm是object streams的数量。object streams是一个可以包含其他Object对象的数据流对象。

    /JS与/JavaScript指明PDF文件中含嵌有JavaScript代码。通常恶意的PDF文件都嵌套有JavaScript代码,这里一般都是利用JavaScript的解析漏洞或者使用JavaScript来实现堆喷射(heap spray),也有很多正常的PDF文件里会含有JavaScript代码

    /AA、/OpenAction和/AcroForm指明当查看PDF文件或者PDF的某页时会有动作随其执行,几乎所有嵌有JavaScript代码的恶意PDF文件都有自动执行JavaScript代码的动作(action)。如果一个PDF文件包含有/AA或/OpenAction自动执行动作的关键字段,而且含有JavaScript代码,那么这个PDF文件就极有可能是恶意的PDF文件

    /URI 如果你要在PDF文件中执行打开网页的动作就需要这个关键字段

    /Filter 一般为FlateDecode则是使用了Zlib压缩解压缩算法。

    /JBIG2Decode指明PDF文件使用了JBIG2压缩。虽然JBIG2压缩本身可能会有漏洞(CVE-2010-1297)。但/JBIG2Decode关键字段并不能说明PDF文件是否可疑

    /RichMedia Flash文件

    /Launch执行动作(action)数量

    0x4 参考

    PDF格式详解
    http://blog.csdn.net/bobob/article/details/751381
    PDF Tools
    https://blog.didierstevens.com/programs/pdf-tools/
    恶意PDF文件解析思路
    https://wenku.baidu.com/view/0c05dd996529647d27285224.html

  • 相关阅读:
    poj 1753 -- Flip Game
    hdu 2209 -- 翻纸牌游戏
    文件系统的挂载与卸载挂载
    我的vim配置(一)
    Poj 3687 -- Labeling Balls
    主动激发“onclick”事件;prompt
    this
    函数嵌套
    调用函数时传递的实参个数arguments.length; ,函数定义时的形参个数sum.length
    回调函数,用户定义的排序规则
  • 原文地址:https://www.cnblogs.com/17bdw/p/7215527.html
Copyright © 2011-2022 走看看