💡 PEEPDF: универсальный инструмент форензики PDF-документов |

💡 PEEPDF: универсальный инструмент форензики PDF-документов

Мануал

Peepdf – это инструмент для форензики документов в формате pdf.

Большинство атак социальной инженерии используют вредоносный PDF-документ, содержащий java-скрипты и shell-коды.

Peepdf может анализировать подозрительные объекты и потоки данных в PDF-документе.

Установив некоторые расширения, исследователь безопасности может детально проанализировать java-скрипты и shell-коды.

🛎 Создание и анализ вредоносного PDF-файла с помощью PDF-Parser Tool

К основным возможностям peepdf относятся:

  • Анализ PDF-документа
  • Извлечение объектов и потоков данных
  • Извлечение метаданных
  • Извлечение данных из закодированных и зашифрованных файлов.
  • Предоставляются XML-выводы
  • Интерактивная консоль

Исследователь безопасности может использовать этот инструмент либо для проверки скрытых shell-кодов или java-скриптов, либо даже стандартных уязвимостей, таких как CVE-2013-2729 и т.д.

🐻 Защитите свои файлы: блокировка и разблокировка ваших PDF-файлов с помощью PDFBear3

Другое применение очевидно для форензики.

Он может извлекать все метаданные и потоки данных внутри документа, чтобы расследователь мог использовать его для сопоставления шаблонов, анализа шеллкода или просто для извлечения метаданных, обнаружения присутствия вредоносного кода и использования его в качестве доказательства.

Опции – Peepdf

Syntax: peepdf <options> PDF-FILE
-h, --help show this help message and exit
-i, --interactive Sets console mode.
-s SCRIPTFILE, --load-script=SCRIPTFILE  Loads the commands stored in the specified file and execute them.
-f, --force-mode Sets force parsing mode to ignore errors.
-l, --loose-mode Sets loose parsing mode to catch malformed objects.
-u, --update Updates peepdf with the latest files from the repository.
-g, --grinch-mode Avoids colorized output in the interactive console.
-v, --version Shows program's version number.
-x, --xml Shows the document information in XML format.

Лабораторная работа 1: Установка Spidermonkey и Pylibemu

В этой части мы установим 3 дополнительных пакета, чтобы иметь возможность анализировать javascript и shellcode.

Как извлечь метаданные из pdf файла?

Это следующие пакеты:

  • libemu – базовая эмуляция x86 и обнаружение шеллкода
  • Pylibemu – Python-обертка для библиотеки libemu
  • Spidermonkey – Javascript Engine

Шаг 1: Установим Libemu

Сначала нам нужно установить необходимые зависимости и файлы python.

apt-get install autoconf libemu python-dev python-lxml python-pyrex

Клонируйте пакет из Git.

Убедитесь, что у вас установлен git-core.

Kali поставляется с предустановленным git.

git clone git://git.carnivore.it/libemu.git

Настройте и установите libemu из git.

cd libemu/
autoreconf -v -i
./configure --enable-python-bindings --prefix=/opt/libemu
make -j4
make install
ldconf -n /opt/libemu/lib

Шаг 2: Установим Pylibemu

Снова клонируйте из git

git clone https://github.com/buffer/pylibemu.git

Установите pylibemu

echo "/opt/libemu/lib" > /etc/ld.so.conf.d/pylibemu.conf
python setup.py build
python setup.py install

Шаг 3: Установим Spidermonkey

apt-get install python-pyrex
svn checkout http://python-spidermonkey.googlecode.com/svn/trunk/ python-spidermonkey
cd python-spidermonkey
python setup.py build
python setup.py install
ldconfig

Запустите peepdf и проверьте, правильно ли установлены пакеты.

Просто попробуйте с ним любой файл PDF.

Как удалить пароль из файла PDF в Linux

peepdf evil.pdf <replace with yous>

Если дополнения установлены неправильно, при выполнении peepdf появится сообщение о том, что пакеты не установлены.

В следующих уроках мы более подробно рассмотрим использование peepdf.

см. также:

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий