[求助]有关pdf免杀-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]有关pdf免杀

发表于: 2010-7-8 09:08 10001

[求助]有关pdf免杀

ttwinter

2010-7-8 09:08

10001

想问一下有没有人做过有关pdf文件的免杀的研究？有没有什么好的方法？谢谢！！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#其他内容

收藏・1

免费・0

支持

最新回复 (22)
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2 楼应该先了解文件格式 2010-7-8 13:06 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 3 楼没有什么好办法。。呵呵 2010-7-8 13:23 0
winsee 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	winsee 4 楼需要把pdf里的 stream格式分析清楚,要把stream解压出来 2010-7-8 15:01 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 5 楼娃儿，最近怎样？ 2010-7-8 16:02 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 6 楼我看了一下主要杀js代码的heap spray部分和危险代码 nod32比较奇怪，杀pdf中endobj endstream的end 我想如果要修改做免杀的话，可能js代码需要修改，但是实现的功能还是heap spray，这部分我不知道杀毒软件会怎样判断 endobj endstream是不好解决的，除非更改pdf的摸板，不知道这部分好做不，这个需要对pdf格式有很清楚的了解自己怎样做摸板呢？我用acrobat 9 是可以在其中插入js代码的，可是shellcode放在那里呢？有人专门做过这方面的研究么？ 2010-7-8 16:42 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼日你娃，走了还扔下一堆烂摊子弄的他们都想走揍你话说你最近如何？ 2010-7-8 16:45 0
zzczhu 雪币： 122 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	zzczhu 8 楼我倒是试过几种,但是有时候可以免杀,有时候不行,看来还是要根据杀毒引擎的原理来做 2010-7-10 01:08 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 9 楼嘛事？ 2010-7-10 03:12 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 10 楼坏人 ~肯定是坏人我不告诉你 2010-7-11 22:45 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 11 楼 snowdbg,你知道什么好的方法么？可以交流一下么？学习一下啊！或者你可以告诉我你的email地址，我想请教你一下。 2010-7-12 17:08 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 12 楼 pdf由于其格式比较灵活，偶尔会出现你修改了JS后原来的JS数据还是会在文档中只是它把那个obj置0了，要注意看 2010-7-13 07:06 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 13 楼对于JS中但凡使用了Heapspray的，大多数杀毒软件都能查杀 2010-7-13 09:13 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 14 楼这个确实是所以pdf免杀还是比较困难的不过经过修改还是可以过一些杀软 2010-7-13 09:31 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 15 楼我不知道你是怎么改的pdf中的js代码，会出现这种情况过去我改js一般都是把经过编码的js提取出来，再用flate解码，修改，编码，然后copy回去，但是这样可能面临一个问题就是修改后的长度不能超出原来的长度我想可以直接用acrobat里的js编辑来修改不过说实话对于heap spray部分我还不知道怎样改比较好，我没有直接修改过关键代码的，一般都是修改一些无关痛痒的地方，哎，，，，， 2010-7-13 09:36 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 16 楼为什么修改后的长度不能超过原来的长度，我的都可以啊。只要还在同一个流里面就行。 2010-7-15 14:50 0
hookall 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hookall 17 楼等待高人出现 2010-7-15 14:59 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 18 楼这两天又试了一下，改变了pdf的模板，可是还是会被杀，我看的确是js代码部分的问题下一步试下修改js，但是不管怎么改还是实现heap spray的功能啊不知道nod32是如何判断的，少范围的修改可以过360 至于长度的问题我还没有试，回头再看看还有shellcode，可能也需要改改 2010-7-15 15:37 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 19 楼可以超出长度啊，长度变化后可能要改动：length，交叉引用和文档Size 2010-7-15 20:13 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 20 楼是的，需要修改一些东西 2010-7-16 09:25 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 21 楼还有就是，我看Adobe pdf格式说明里面有很多压缩算法可以使用的，不知道js代码是否可以用其他算法压缩，还是只能使用flate，我用acrobat编辑时默认的应该是flate，有人知道么？ 2010-7-16 09:28 0
momoomo 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	momoomo 22 楼 js代码可以用其他算法压缩 2010-7-16 15:07 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 23 楼如果js代码使用其他算法压缩，杀毒软件还能识别其危害性么？就是说，像nod32这样的软件，是怎样检测到pdf中用js编写的heap spray代码的呢？迷惑。。。。。还有就是如何使用其他算法进行压缩呢？采用怎样的方法来构造pdf文件呢？ 2010-7-16 15:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ttwinter

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2 楼应该先了解文件格式 2010-7-8 13:06 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 3 楼没有什么好办法。。呵呵 2010-7-8 13:23 0
winsee 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	winsee 4 楼需要把pdf里的 stream格式分析清楚,要把stream解压出来 2010-7-8 15:01 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 5 楼娃儿，最近怎样？ 2010-7-8 16:02 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 6 楼我看了一下主要杀js代码的heap spray部分和危险代码 nod32比较奇怪，杀pdf中endobj endstream的end 我想如果要修改做免杀的话，可能js代码需要修改，但是实现的功能还是heap spray，这部分我不知道杀毒软件会怎样判断 endobj endstream是不好解决的，除非更改pdf的摸板，不知道这部分好做不，这个需要对pdf格式有很清楚的了解自己怎样做摸板呢？我用acrobat 9 是可以在其中插入js代码的，可是shellcode放在那里呢？有人专门做过这方面的研究么？ 2010-7-8 16:42 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼日你娃，走了还扔下一堆烂摊子弄的他们都想走揍你话说你最近如何？ 2010-7-8 16:45 0
zzczhu 雪币： 122 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	zzczhu 8 楼我倒是试过几种,但是有时候可以免杀,有时候不行,看来还是要根据杀毒引擎的原理来做 2010-7-10 01:08 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 9 楼嘛事？ 2010-7-10 03:12 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 10 楼坏人 ~肯定是坏人我不告诉你 2010-7-11 22:45 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 11 楼 snowdbg,你知道什么好的方法么？可以交流一下么？学习一下啊！或者你可以告诉我你的email地址，我想请教你一下。 2010-7-12 17:08 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 12 楼 pdf由于其格式比较灵活，偶尔会出现你修改了JS后原来的JS数据还是会在文档中只是它把那个obj置0了，要注意看 2010-7-13 07:06 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 13 楼对于JS中但凡使用了Heapspray的，大多数杀毒软件都能查杀 2010-7-13 09:13 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 14 楼这个确实是所以pdf免杀还是比较困难的不过经过修改还是可以过一些杀软 2010-7-13 09:31 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 15 楼我不知道你是怎么改的pdf中的js代码，会出现这种情况过去我改js一般都是把经过编码的js提取出来，再用flate解码，修改，编码，然后copy回去，但是这样可能面临一个问题就是修改后的长度不能超出原来的长度我想可以直接用acrobat里的js编辑来修改不过说实话对于heap spray部分我还不知道怎样改比较好，我没有直接修改过关键代码的，一般都是修改一些无关痛痒的地方，哎，，，，， 2010-7-13 09:36 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 16 楼为什么修改后的长度不能超过原来的长度，我的都可以啊。只要还在同一个流里面就行。 2010-7-15 14:50 0
hookall 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hookall 17 楼等待高人出现 2010-7-15 14:59 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 18 楼这两天又试了一下，改变了pdf的模板，可是还是会被杀，我看的确是js代码部分的问题下一步试下修改js，但是不管怎么改还是实现heap spray的功能啊不知道nod32是如何判断的，少范围的修改可以过360 至于长度的问题我还没有试，回头再看看还有shellcode，可能也需要改改 2010-7-15 15:37 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 19 楼可以超出长度啊，长度变化后可能要改动：length，交叉引用和文档Size 2010-7-15 20:13 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 20 楼是的，需要修改一些东西 2010-7-16 09:25 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 21 楼还有就是，我看Adobe pdf格式说明里面有很多压缩算法可以使用的，不知道js代码是否可以用其他算法压缩，还是只能使用flate，我用acrobat编辑时默认的应该是flate，有人知道么？ 2010-7-16 09:28 0
momoomo 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	momoomo 22 楼 js代码可以用其他算法压缩 2010-7-16 15:07 0
ttwinter 雪币： 21 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 65 粉丝 0 关注私信	ttwinter 23 楼如果js代码使用其他算法压缩，杀毒软件还能识别其危害性么？就是说，像nod32这样的软件，是怎样检测到pdf中用js编写的heap spray代码的呢？迷惑。。。。。还有就是如何使用其他算法进行压缩呢？采用怎样的方法来构造pdf文件呢？ 2010-7-16 15:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复