it-swarm-tr.com

PDF kötü amaçlı yazılım için nasıl taranır?

Herkes kötü amaçlı yazılım veya diğer "kötü şeyler" içerip içermediğini belirlemek için PDF dosyasını taramak için otomatik bir araç önerebilir mi?) Veya alternatif olarak PDF'ye bir risk düzeyi atar mı?

Ücretsiz bir aracı tercih ederim. PDF'leri otomatik olarak taramak ve buna bağlı olarak işlem yapmak mümkün olmak için, örneğin Unix komut satırından programlı kullanım için uygun olmalıdır. Web tabanlı bir çözüm de yazılabilir durumdaysa uygun olabilir.

39
D.W.

Çok kolay.

Didier Stevens, PDF kötü amaçlı yazılım analizi gerçekleştirmek için iki açık kaynaklı, Python tabanlı komut dosyası sağladı. Ayrıca vurgulayacağım birkaç tane daha var.

İlk önce çalıştırmak istediğiniz birincil olanlar PDFiD (Didier'in diğer PDF Araçları ) ve Pyew .

pdfid.py nasıl çalıştırılacağı ve beklenen sonuçların nasıl görüneceği ile ilgili bir makale; pyew için başka bir örnek.

Son olarak, olası JS, Javascript, AA, OpenAction ve AcroForms'u tanımladıktan sonra - bu nesneleri dökümden geçirmek, Javascript'i filtrelemek ve ham çıktı üretmek istersiniz. Bu pdf-parser.py ile mümkündür.

Buna ek olarak, Brandon Dixon PDF kötü amaçlı filtreler, kötü amaçlı filtrelere dayalı PDF'leri puanlama hakkında bir yazı da dahil olmak üzere, araştırmasında son derece Elite blog yayınları bulunduruyor aynen tarif ettiğiniz gibi.

Ben şahsen tüm bu araçları kullanıyorum!

40
atdre

Lenny Zeltser tarafından yazılan ve blogda hemen hemen doğru olan bu son blog yazısı geldi

Kötü Amaçlı Analiz için 6 Ücretsiz Araç PDF Dosyalar

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Bahsettiği araçlar:

Her biri hakkında ayrıntılar ve blog yazısında diğer pdf analiz belgelerine bağlantılar var.

10
john

Geçtiğimiz birkaç aydır PDF analiz ve nasıl daha iyi geliştirilebileceği) üzerine araştırma yapıyorum.Araştırmayı yaparken kendimi işi yapmama ve karar vermeme yardımcı olacak araçlar ve senaryolar yazarken buldum birlikte daha kullanışlı bir şey koymanın zamanı gelmişti. PDF X-RAY PDF dosyaları bir web arayüzü veya API aracılığıyla analiz etmenizi sağlayan statik bir analiz aracıdır) Araç, bir PDF almak ve paylaşılabilir bir biçime dönüştürmek için birden çok açık kaynaklı araç ve özel kod kullanır. Bu araçla hedef PDF analiz edin ve görülen dosyalar hakkında yorum paylaşmaya başlayın.

PDF X-RAY, tek bir dosyaya odaklanmadığı için diğer tüm araçlardan farklıdır. Bunun yerine yüklediğiniz dosyayı depomuzdaki binlerce kötü amaçlı PDF dosya ile karşılaştırır. Bu kontroller PDF yüklediğiniz ve Bu özelliği kullanarak, kötü amaçlı yazar kodlama stilleri nedeniyle kötü amaçlı dosyalar veya eğilimler arasında paylaşılan kodlanmış örnekleri görmeye başlayabiliriz.Araç hala beta sürümündedir, ancak kullanıcıların ne düşündüğünü görmek için herkese açıklamak istedim. Benim fikrime göre, API en yararlısıdır çünkü zengin PDF analizini çok az maliyetle veya ücretsiz olarak diğer araçlara ve hizmetlere entegre etmeye başlayabilirsiniz).

Mevcut özellikler şunları içerir:

  • Özet raporu
  • Etkileşimli rapor (sahip olduğum tüm bilgileri içerir)
  • Özellikleri ile ilgili
  • Hesap erişimi ve özellikleri
  • Tam API (gönderme, raporlama, tam nesne vb.)
  • Arama (tümü uygulanmadı, ancak tüm karma yönler çalışıyor)
  • JS kodunun korumalı alan dökümü
  • Oturum açan kullanıcılar için akışların işaretlenmesi (kötü amaçlı veya kötü amaçlı değil) (anonim kullanıcılar kaç kişinin bir şeyi kötü amaçlı olarak işaretlediğini görebilir)
  • Raporlar (son 50 diğerleri arasında yayınlandı (bazıları henüz yayınlanmadı))
  • Sosyal ağ kancaları (biraz yavaşlamaya neden olur, bu yüzden değiştirebilirim)
  • Temel yardım belgeleri
  • Görüntü önizleme oluşturma

PDFXRAY.com'dan Örnek Rapor

6
Brandon Dixon

Aslında aracımı (bkz. Kötü Amaçlı Filtreye Dayalı PDF'leri Puanlama - 9b + ) bir API veya web portalı üzerinden örnek yükleyebileceğiniz barındırılan bir ortama taşıma sürecindeyim. Şu anki durumunda PDF'yi tarayacak, mümkün olduğunca fazla veri çekecek ve yüzlerce diğer kötü amaçlı dosyayla karşılaştıracaktır. Lütfen bana bir e-posta gönderin ve ne zaman kullanıma hazır olduğunu size kişisel olarak bildireceğim.

Bu arada, kötü amaçlı yazılımımın% 50'sinden biraz fazlasını tespit eden oluşturduğum filtreyi kullanabilirsiniz. Biraz ince ayarlanması gerekiyor, ancak örneklerinize kişisel olarak bakmak ve size en iyi tahmininizi yapmak isterim. Dediğim gibi, bana e-posta ve bilgi alışverişi yapabilirsiniz.

3
user2009

VirusTotal'ı potansiyel zararlı içeriğin bir göstergesi olarak kullanmayı denediniz mi? Bunun çoğu dosya doğrulaması için ilk durağım olduğunu biliyorum. Belki de MD5 arama motorlarına bir kıvrılma isteği yazabilirsiniz?

2
xntrik