检查PDF是否有漏洞

Modified on: Sun, 10 Feb 2019 01:20:03 +0800

我有什么方法可以检查PDF是否有漏洞?我大部分时间都在Linux上,但我有时也必须在Windows上阅读PDF,所以我必须要确保PDF是干净的。我在Windows上使用Acrobat Reader,在Linux上使用Evince。

最佳答案

以下是 Lupin )的帖子< a href =“http://forums.remote-exploit.org/general-discussion/29434-pdf-file-check-question.html#post164977"rel =”nofollow noreferrer“> Remote-Exploit Forums 我发现非常有帮助。

  

这是我使用的方法
  分析恶意PDF:

  
  

我使用工具pdfid
  来自此处 pdf-parser 一>。在里面
  过去我也使用pdftk,但我是
  发现最近不太有用。

  
  

过程:

  
  

      
  1. 使用pdfid分析pdf文档。 pdfid可以告诉你是否
      pdf包含Javascript以及
      自动运行功能和数量
      它有的页面。一页一页的文件
      Javascript和自动运行功能
      很可疑。
  2.   
  3. 如果存在Javascript,请将其从文档中提取到
      确定其目的。有时候
      Javascript包含在纯文本中,
      在这种情况下你可以使用
      字符串实用程序来提取它。
      否则,您可以使用pdf-parser
      提取某些类型的编码
      的JavaScript。
  4.   
  5. 恶意Javascript经常包含混淆以伪装它
      真实的目的。要删除它
      混淆我修改脚本a
      很少允许更容易调试(例如
      从eval语句中分配代码
      改为变量而使用
      Rhino Javascript调试器给我看
      代码如何转换为它
      运行。
  6.   
  7. 许多基于Javascript的PDF漏洞通常涉及缓冲区
      溢出,shellcode经常出现
      以unicode格式。我有一个perl
      脚本
    我写的转换
      这种类型的shellcode到C程序
      (真的只是C风格的shellcode用
      一些包装代码)然后可以
      编译后使用进一步分析
      标准二元分析技术。
  8.   醇>      

    我会注意到PDF漏洞利用
      可能没有Javascript,但在
      练习大部分的
      野生似乎使用它。当然是
      我见过的就是它。


相关问答

添加新评论