Analizador de PDF y OPcodeExtraction [cerrado]

Question

Analizador de PDF y OPcodeExtraction [cerrado]

#1 de AdrianH (1 votos)
#2 de mootmoot (0 votos)

0

Estoy realizando un proyecto universitario sobre detección de malware. Específicamente necesito:

  - extract javascript from a PDF,                                          
  - put it in the right order,                                               
  - extract opcode sequences of a possible embedded shellcode using for 
    example libemu.

En particular, el proceso de análisis tiene que tratar con ofuscado / cifrado javascript e incluso con javascript no ubicado en las posiciones normales referidas por la documentación.
Cualquier sugerencia sobre cómo puedo realizar estas tareas será muy apreciada. Es Hay algo ya implementado? Muchas gracias.

malware detection pdf shellcode

pregunta Myke 29.06.2017 - 12:26

fuente

2 respuestas

Lea otras preguntas en las etiquetas malware detection pdf shellcode

Ataque de reparación de sesión, sesiones basadas en cookies a través de https ¿La mejor manera de proteger documentos? [cerrado]

score 1 · Answer 1

1

Pruebe las herramientas de PDF de Didier Stevens que le permitirán hacerlo a través de CLI en lugar de GUI: enlace . Además, Didier trabajó mucho en los métodos de ofuscación, por lo que deberían ayudarte con la mayoría de las situaciones mal formadas.

respondido por el AdrianH 29.06.2017 - 14:15

fuente

score 0 · Answer 2

Pruebe las herramientas como se indica aquí .

dumper de flujo de PDF se recomienda porque las herramientas aún admiten activamente . La fuente de github mencionó el soporte de línea de comandos.

PdfStreamDumper currently only supports one command line option which is /extract
    usage: pdfstreamdumper "c:\blah blah\bad.pdf" /extract "c:\some folder"
        When run in this mode, it will load the pdf file (interface visible) extract all of
        of the streams it could process without error to the folder specified and then exit.
    The folder need not exist, it will build the path to it if it can. The files will be 
    named stream_x.ext where ext is the relevant file type extension if it can be determined.