PDF-Parser是一个分析PDF文件的工具,包含以下特征:
- 加载和分析objects和headers
- 提取作者、描述等meta数据
- 提取有序页面的文本
- 支持压缩的pdf
- 支持mac OS 罗马字符集编码
- 在text sections处理十六进制和十进制编码
- 遵循PSR-0
- 遵循PSR-1
分析恶意PDF文件
首先创建了一个PDF文件,并嵌入一个EXE文件。
Step 1: 启动恶意pdf分析器pdf-parser
root@kali:~# pdf-parser -h
列出所有PDFParser选项
Step2: 获取PDF文档的统计信息
root@kali:~# pdf-parser -a /root/Desktop/template.pdf
Step3: 通过 FlateDecode,ASCIIHexDecode, ASCII85Decode, LZWDecode和 RunLengthDecode传递和过滤流数据
root@kali:~# pdf-parser -f /root/Desktop/template.pdf
Step4: 获得PDF哈希值
root@kali:~# pdf-parser -H /root/Desktop/template.pdf
Step5: 进行区分大小写搜索
root@kali:~# pdf-parser –casesensitive /root/Desktop/template.pdf
Step6: 获取加入文档的javascripts
pdf-parser –search javascript –raw /root/Desktop/template.pdf
Stats选项表示PDF中统计数据。使用stats可以识别PDF中的一些意外的对象,来描述pdf记录的特征。
Search选项会扫描简介对象中的字符串。查询是不区分大小写的,而且对混淆方法没有防御能力。
Filter选项会对流数据进行过滤,raw选项会使用pdf-parser输出原始未经加工的数据。
https://gbhackers.com/creating-and-analyzing-a-malicious-pdf-file-with-pdf-parser-tool/
本文暂时没有评论,来添加一个吧(●'◡'●)