Peepdf – это инструмент для форензики документов в формате pdf.
Большинство атак социальной инженерии используют вредоносный PDF-документ, содержащий java-скрипты и shell-коды.
Peepdf может анализировать подозрительные объекты и потоки данных в PDF-документе.
Установив некоторые расширения, исследователь безопасности может детально проанализировать java-скрипты и shell-коды.
🛎 Создание и анализ вредоносного PDF-файла с помощью PDF-Parser Tool
К основным возможностям peepdf относятся:
- Анализ PDF-документа
- Извлечение объектов и потоков данных
- Извлечение метаданных
- Извлечение данных из закодированных и зашифрованных файлов.
- Предоставляются XML-выводы
- Интерактивная консоль
Исследователь безопасности может использовать этот инструмент либо для проверки скрытых shell-кодов или java-скриптов, либо даже стандартных уязвимостей, таких как CVE-2013-2729 и т.д.
🐻 Защитите свои файлы: блокировка и разблокировка ваших PDF-файлов с помощью PDFBear3
Другое применение очевидно для форензики.
Он может извлекать все метаданные и потоки данных внутри документа, чтобы расследователь мог использовать его для сопоставления шаблонов, анализа шеллкода или просто для извлечения метаданных, обнаружения присутствия вредоносного кода и использования его в качестве доказательства.
Опции – Peepdf
Syntax: peepdf <options> PDF-FILE
-h, --help show this help message and exit -i, --interactive Sets console mode. -s SCRIPTFILE, --load-script=SCRIPTFILE Loads the commands stored in the specified file and execute them. -f, --force-mode Sets force parsing mode to ignore errors. -l, --loose-mode Sets loose parsing mode to catch malformed objects. -u, --update Updates peepdf with the latest files from the repository. -g, --grinch-mode Avoids colorized output in the interactive console. -v, --version Shows program's version number. -x, --xml Shows the document information in XML format.
Лабораторная работа 1: Установка Spidermonkey и Pylibemu
В этой части мы установим 3 дополнительных пакета, чтобы иметь возможность анализировать javascript и shellcode.
Как извлечь метаданные из pdf файла?
Это следующие пакеты:
- libemu – базовая эмуляция x86 и обнаружение шеллкода
- Pylibemu – Python-обертка для библиотеки libemu
- Spidermonkey – Javascript Engine
Шаг 1: Установим Libemu
Сначала нам нужно установить необходимые зависимости и файлы python.
Клонируйте пакет из Git.
Убедитесь, что у вас установлен git-core.
Kali поставляется с предустановленным git.
Настройте и установите libemu из git.
Шаг 2: Установим Pylibemu
Снова клонируйте из git
Установите pylibemu
Шаг 3: Установим Spidermonkey
Запустите peepdf и проверьте, правильно ли установлены пакеты.
Просто попробуйте с ним любой файл PDF.
Как удалить пароль из файла PDF в Linux
Если дополнения установлены неправильно, при выполнении peepdf появится сообщение о том, что пакеты не установлены.
В следующих уроках мы более подробно рассмотрим использование peepdf.
см. также:
- Как удалить пароль PDF и ограничения
- Как удалить пароль из файла PDF без дополнительных программ
- 🌐 Выполняем атаку включения локального файла
- 🐧 Получение абсолютного пути к файлу на Linux
- 🕵️♂️ Как создать необнаруживаемый пейлоад для windows – technowlogger
- 🐧 Как удалить файлы с определенным расширением в командной строке Linux