首页
社区
课程
招聘
[求助]有关pdf免杀
发表于: 2010-7-8 09:08 10030

[求助]有关pdf免杀

2010-7-8 09:08
10030
想问一下有没有人做过有关pdf文件的免杀的研究?有没有什么好的方法?谢谢!!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (22)
雪    币: 345
活跃值: (152)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
2
应该先了解文件格式
2010-7-8 13:06
0
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
3
没有什么好办法。。呵呵
2010-7-8 13:23
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
需要把pdf里的 stream格式分析清楚,要把stream解压出来
2010-7-8 15:01
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
娃儿,最近怎样?
2010-7-8 16:02
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我看了一下主要杀js代码的heap spray部分和危险代码
nod32比较奇怪,杀pdf中endobj endstream的end
我想如果要修改做免杀的话,可能js代码需要修改,但是实现的功能还是heap spray,这部分我不知道杀毒软件会怎样判断
endobj endstream是不好解决的,除非更改pdf的摸板,不知道这部分好做不,这个需要对pdf格式有很清楚的了解
自己怎样做摸板呢?我用acrobat 9 是可以在其中插入js代码的,可是shellcode放在那里呢?有人专门做过这方面的研究么?
2010-7-8 16:42
0
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
7
日你娃,
走了还扔下一堆烂摊子
  弄的他们都想走揍你
话说你最近如何?
2010-7-8 16:45
0
雪    币: 122
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我倒是试过几种,但是有时候可以免杀,有时候不行,看来还是要根据杀毒引擎的原理来做
2010-7-10 01:08
0
雪    币: 29
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
嘛事?
2010-7-10 03:12
0
雪    币: 3171
活跃值: (76)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
10
坏人 ~肯定是坏人

我不告诉你
2010-7-11 22:45
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
snowdbg,你知道什么好的方法么?可以交流一下么?学习一下啊!或者你可以告诉我你的email地址,我想请教你一下。
2010-7-12 17:08
0
雪    币: 3171
活跃值: (76)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
12
pdf由于其格式比较灵活,偶尔会出现 你修改了JS后 原来的JS数据还是会在文档中 只是它把那个obj置0了,要注意看
2010-7-13 07:06
0
雪    币: 21
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
对于JS中但凡使用了Heapspray的,大多数杀毒软件都能查杀
2010-7-13 09:13
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
这个确实是
所以pdf免杀还是比较困难的
不过经过修改还是可以过一些杀软
2010-7-13 09:31
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我不知道你是怎么改的pdf中的js代码,会出现这种情况
过去我改js一般都是把经过编码的js提取出来,再用flate解码,修改,编码,然后copy回去,但是这样可能面临一个问题就是修改后的长度不能超出原来的长度
我想可以直接用acrobat里的js编辑来修改

不过说实话对于heap spray部分我还不知道怎样改比较好,我没有直接修改过关键代码的,一般都是修改一些无关痛痒的地方,哎,,,,,
2010-7-13 09:36
0
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
为什么修改后的长度不能超过原来的长度,我的都可以啊。只要还在同一个流里面就行。
2010-7-15 14:50
0
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
等待高人出现
2010-7-15 14:59
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
这两天又试了一下,改变了pdf的模板,可是还是会被杀,我看的确是js代码部分的问题
下一步试下修改js,但是不管怎么改还是实现heap spray的功能啊
不知道nod32是如何判断的,少范围的修改可以过360

至于长度的问题我还没有试,回头再看看
还有shellcode,可能也需要改改
2010-7-15 15:37
0
雪    币: 21
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
19
可以超出长度啊,

长度变化后可能要改动:length,交叉引用和文档Size
2010-7-15 20:13
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
是的,需要修改一些东西
2010-7-16 09:25
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
还有就是,我看Adobe pdf格式说明里面有很多压缩算法可以使用的,不知道js代码是否可以用其他算法压缩,还是只能使用flate,我用acrobat编辑时默认的应该是flate,有人知道么?
2010-7-16 09:28
0
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
js代码可以用其他算法压缩
2010-7-16 15:07
0
雪    币: 21
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
如果js代码使用其他算法压缩,杀毒软件还能识别其危害性么?
就是说,像nod32这样的软件,是怎样检测到pdf中用js编写的heap spray代码的呢?
迷惑。。。。。

还有就是如何使用其他算法进行压缩呢?采用怎样的方法来构造pdf文件呢?
2010-7-16 15:48
0
游客
登录 | 注册 方可回帖
返回
//