Peepdf是一款对 pdf 文档进行取证分析的工具。大多数社会工程攻击使用嵌入 java 脚本和 shell 代码的恶意 PDF 文档。
它可以分析 PDF 文档中的可疑对象和数据流。安装一些扩展后,安全研究人员可以详细分析 java 脚本和 shell 代码。peepdf 的一些主要功能包括:
1.分析PDF文档
2.提取数据对象和流
3.提取元数据
4.从编码和加密文件中提取数据
5.提供XML输出
6.交互式控制台
安全研究人员可以使用此工具检查隐藏的 shell 代码或 java 脚本,甚至可以检查 CVE-2013-2729 等标准漏洞。另一个用途就是网络取证。
它可以提取文档内的所有元数据和数据流,以便取证人员可以将其用于模式匹配目的或分析 shellcode,或者只是提取元数据并检测恶意代码的存在并将其用作证据。
选项 – Peepdf
语法:peepdf <选项> PDF-FILE
-h, --help 显示此帮助消息并退出
-i, --interactive 设置控制台模式。
-s SCRIPTFILE, --load-script=SCRIPTFILE 加载存储在指定文件中的命令并执行它们。
-f, --force-mode 设置强制解析模式以忽略错误。
-l, --loose-mode 设置松散解析模式以捕获格式错误的对象。
-u, --update 使用存储库中的最新文件更新 peepdf。
-g, --grin
ch-mode 避免交互式控制台中的彩色输出。
-v, --version 显示程序的版本号。
-x, --xml 以 XML 格式显示文档信息。
实验 1:安装 Spidermonkey 和 Pylibemu
在本次模拟中,我们将安装 3 个附加包以便能够分析 javascript 和 shellcode。这些软件包是:
- libemu – 基本的 x86 模拟和 shellcode 检测
- Pylibemu – libemu 库的 Python 包装器
- Spidermonkey – Javascript 引擎
第1步:安装Libemu
首先,我们必须安装所需的依赖项和 python 文件。
apt-get install autoconf libemu python-dev python-lxml python-pyrex
从 Git 克隆包。确保已安装 git-core。Kali 预装了 git。
git clone git://git.carnivore.it/libemu.git
从 git 配置并安装 libemu。
cd libemu/
autoreconf -v -i
./configure --enable-python-bindings --prefix=/opt/libemu
make -j4
make install
ldconf -n /opt/libemu/lib
第2步:安装Pylibemu
再次从 git 克隆
git clone https://github.com/buffer/pylibemu.git
安装pylibemu
echo "/opt/libemu/lib" > /etc/ld.so.conf.d/pylibemu.conf
python setup.py build
python setup.py install
第三步:安装Spidermonkey
apt-get install python-pyrex
svn checkout http://python-spidermonkey.googlecode.com/svn/trunk/ python-spidermonkey
cd python-spidermonkey
python setup.py build
python setup.py install
ldconfig
执行peepdf并查看软件包是否正确安装。只需尝试任何 PDF 文件即可。
peepdf 需要去取证的文件.pdf <替换为你的>