Çok kolay.

Didier Stevens, PDF kötü amaçlı yazılım analizi gerçekleştirmek için iki açık kaynaklı, Python tabanlı komut dosyası sağladı. Ayrıca vurgulayacağım birkaç tane daha var.

İlk olarak çalıştırmak istediğiniz birincil olanlar PDFiD (Didier'in diğer PDF Araçları ile başka biri mevcuttur) ) ve Pyew.

Burada pdfid.py 'i nasıl çalıştıracağınız ve beklenen sonuçları nasıl göreceğinizle ilgili bir makale var; İşte pyew için bir tane daha.

Son olarak, olası JS, Javascript, AA, OpenAction ve AcroForms'u belirledikten sonra, bu nesneleri dökmek, Javascript'i filtrelemek ve ham bir çıktı üretir. Bu, pdf-parser.py ile mümkündür.

Buna ek olarak, Brandon Dixon, kötü amaçlı yazılımlarla ilgili araştırmasıyla ilgili son derece seçkin blog gönderileri tutar. Tıpkı açıkladığınız gibi PDF'leri kötü amaçlı filtrelere göre puanlama hakkında gönderi yayınlayın.

Kişisel olarak tüm bu araçları kullanıyorum!

Lenny Zeltser tarafından hemen hemen paranın karşılığı olan bu son blog gönderisine az önce geldim

Kötü Amaçlı PDF Dosyalarını analiz etmek için 6 Ücretsiz Araç

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Bahsettiği araçlar şunlardır:

• Didier Stevens'tan PDF Araçları paketi
• PDF Stream Dumper
• Jsunpack-n
• Peepdf
• Origami
• MalObjClass

Blog gönderisinde her biri hakkında ayrıntılar ve diğer pdf analiz belgelerine bağlantılar var.

Geçtiğimiz birkaç aydır PDF analizi ve bunun nasıl daha iyi hale getirilebileceği konusunda araştırma yapıyorum. Araştırmayı yaparken kendime işi yapmama yardımcı olacak araçlar ve senaryolar yazarken buldum ve daha yararlı bir şeyi bir araya getirmenin zamanının geldiğine karar verdim. PDF X-RAY, PDF dosyalarını bir web arayüzü veya API aracılığıyla analiz etmenize olanak tanıyan statik bir analiz aracıdır. Araç, bir PDF'yi alıp paylaşılabilir bir biçime dönüştürmek için birden çok açık kaynak aracı ve özel kod kullanır. Bu aracın amacı, PDF analizini merkezileştirmek ve görülen dosyalarla ilgili yorumları paylaşmaya başlamaktır.

PDF X-RAY, tek dosyaya odaklanmadığı için diğer tüm araçlardan farklıdır. Bunun yerine, yüklediğiniz dosyayı depomuzdaki binlerce kötü amaçlı PDF dosyasıyla karşılaştırır. Bu kontroller, yüklediğiniz PDF'deki ve analistler tarafından incelenen benzer veri yapılarını arar. Bu özelliği kullanarak, kötü niyetli yazar kodlama stilleri nedeniyle kötü amaçlı dosyalar veya eğilimler arasında paylaşılan kodlanmış örnekleri görmeye başlayabiliriz. Araç hala beta aşamasındadır, ancak kullanıcıların ne düşündüğünü görmek için onu halka açıklamak istedim. Zengin PDF analizini diğer araçlara ve hizmetlere çok az maliyetle veya ücretsiz olarak entegre etmeye başlayabileceğiniz için API en kullanışlı olanıdır.

Mevcut özellikler şunları içerir:

• Özet rapor
• Etkileşimli rapor (sahip olduğum tüm bilgileri içerir)
• Özelliklerle ilgili
• Hesap erişimi ve özellikleri
• Tam API ( gönderme, raporlama, tam nesne vb.)
• Arama (tüm uygulanmadı, ancak tüm hashing yönleri işe yarıyor)
• JS kodunun korumalı alan dökümü
• İşaretleme giriş yapan kullanıcılar için akışlar (kötü niyetli veya kötü niyetli olmayan) (anonim kullanıcılar kaç kişinin bir şeyi kötü niyetli olarak işaretlediğini görebilir)
• Raporlar (diğerleri arasında çalıştırılan son 50 (bazıları henüz yayınlanmadı))
• Sosyal ağ kancaları (biraz yavaşlamaya neden olur, bu yüzden bunu değiştirebilirim)
• Temel yardım belgeleri
• Görüntü önizleme oluşturma

PDFXRAY.com'dan Örnek Rapor

Aslında aracımı (bkz. Kötü Amaçlı Filtreye Dayalı PDF Puanlama - 9b +), örnekleri bir API veya web portalı aracılığıyla yükleyebileceğiniz, barındırılan bir ortama taşıma sürecindeyim. Mevcut durumunda, PDF'yi tarayacak, olabildiğince fazla veri çekecek ve diğer yüzlerce kötü amaçlı dosyayla karşılaştıracaktır. Lütfen bana bir e-posta gönderin, kullanıma hazır olduğunda size kişisel olarak haber vereceğim.

Bu arada, şu anda kötü amaçlı yazılımımın% 50'den biraz fazlasını algılayan, oluşturduğum filtreyi kullanabilirsiniz. Biraz ince ayar yapılması gerekiyor, ancak örneklerinize şahsen bakıp en iyi tahminimi yapmak isterim. Dediğim gibi, bana e-posta gönderin ve bilgi alışverişi yapabiliriz.

Olası kötü niyetli içeriğin göstergesi olarak VirusTotal'ı kullanmayı denediniz mi? Bunun çoğu dosya doğrulaması için ilk durağım olduğunu biliyorum. Belki MD5 arama motorlarına bir curl isteği yazabilirsiniz?