[原创]恶意PDF文档解析工具（完整源代码）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]恶意PDF文档解析工具（完整源代码）

发表于: 2010-12-7 11:48 26950

[原创]恶意PDF文档解析工具（完整源代码）

Cryin

2010-12-7 11:48

26950

工具：恶意PDF文档解析工具PDFTear v1.1
写者：Cryin'

这里貌似有点冷清，我来暖暖场呵呵。
此前，做好的恶意PDF文档解析工具附带了个Hex编辑器，感觉实在没什么意义。参见：http://bbs.pediy.com/showthread.php?t=125416 。这一次着重解析PDF文件的主要关键字段，并添加解压缩JavaScript功能。并去掉了Hex.将pdf解析信息放在主界面。凡事有始有终，一个小工具就算做成了！界面如下：

功能：

1、恶意PDF文档检测,检测思路http://hi.baidu.com/justear/blog/item/4a4fd2ec892820382df53402.html
2、JavaScript解压缩
3、简单异或工具
4、shellcode反汇编
5、PDF关键字段数量提取

意见或建议：

http://hi.baidu.com/justear

工具下载：

PDFTear.rar

http://dl.dbank.com/c04szfwuqi

源代码：

http://code.google.com/p/pdftear/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

未命名.jpg （174.54kb，1239次下载）
PDFTear.rar （71.06kb，325次下载）

收藏・32

免费・7

支持

最新回复 (34) 1 2 ▶
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 2 楼哦，顶一个不知能否分析加密的PDF文档 2010-12-7 11:59 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 3 楼顶一下，如果能解压stream就完美了。 2010-12-7 12:07 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 4 楼压缩至文件其实也是可以的，但是存在个问题，，如果解压的stream比先前的长度长的话这个长度值不仅要修改。而且还要修改对应的obj在xref中的偏移地址。startxref的值也对应会改变，，所以问题比较多。这些问题都考虑到才能确保PDF文件不会被损坏哦 2010-12-7 12:33 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 5 楼不能。参考恶意PDF文件解析思路就知道了 link: http://hi.baidu.com/justear/blog/item/4a4fd2ec892820382df53402.html 2010-12-7 12:35 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 6 楼期待楼主开源，呵呵 2010-12-7 13:13 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 7 楼顶这个，同时，共享一个010 Editor（http://bbs.pediy.com/showthread.php?t=125754）的插件。这个能解析PDF 的。而且很直观，解密也行。上传的附件： PDFTemplate.rar （3.36kb，144次下载） 2010-12-7 15:41 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 8 楼 010 Editor我也用过，PDFTemplate.bt这个我也在这里分享过http://bbs.pediy.com/showthread.php?t=125500,不过做着个小工具之前确实没用过PDF Stream Dumper。。要是用过的话就真没必要写了。怎么着也没别人写的好啊 2010-12-7 16:12 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 9 楼我觉得楼主没必要妄自菲薄，为什么说自己没有别人做的好呢，敢于去做，而且做出来了，这就是最大的价值 2010-12-7 16:48 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 10 楼加密加密流对象呢，，并不加密PDF中的那些关键字段 2010-12-7 18:45 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 11 楼其实 PDF Dumper有一些bug的。呵呵，话说流的加密与解密貌似也可以在工具上做吧。 2010-12-7 22:07 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 12 楼最后，如果你想你的软件能火，还是希望你公开代码。 2010-12-7 22:07 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 13 楼 PDF的加密很简单吗？ 2010-12-8 00:03 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 14 楼貌似不简单吧，我没研究过加密那部分 2010-12-8 09:12 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 15 楼流中有关键字段的~ 2010-12-8 09:24 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 16 楼加密这块我到没细研究过，完了一定看看 2010-12-8 09:26 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 17 楼加密？是说的pdf文档加密还是指shellcode被编码压缩的部分？ 2010-12-8 09:29 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 18 楼他们说的应该是pdf文件被加过密的。。shellcode编码解码那完全是在stream里面。对解析pdf文件的关键字段没什么影响吧 2010-12-8 09:33 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 19 楼如果不是做pdf阅读器的话，这部分内容应该是没有必要去解析的吧？ 2010-12-8 09:50 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 20 楼嗯嗯.... 2010-12-8 10:12 0
仙果雪币： 1491 活跃值： (975) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 64 关注私信	仙果 19 21 楼共享下源码吧，呵呵，，你知道我的联系方式吧。。 2010-12-8 10:38 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 22 楼要不加QQ吧，以后多交流呵呵 2010-12-8 10:41 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 23 楼我简单研究了一下，发在论坛上，希望对你有用。 2010-12-8 12:23 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 24 楼太谢谢了！！ 2010-12-8 12:35 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 25 楼上传代码了。写了很挫！！勿拍 2011-1-12 23:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Cryin

发帖

回帖

240

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (34) 1 2 ▶
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 2 楼哦，顶一个不知能否分析加密的PDF文档 2010-12-7 11:59 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 3 楼顶一下，如果能解压stream就完美了。 2010-12-7 12:07 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 4 楼压缩至文件其实也是可以的，但是存在个问题，，如果解压的stream比先前的长度长的话这个长度值不仅要修改。而且还要修改对应的obj在xref中的偏移地址。startxref的值也对应会改变，，所以问题比较多。这些问题都考虑到才能确保PDF文件不会被损坏哦 2010-12-7 12:33 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 5 楼不能。参考恶意PDF文件解析思路就知道了 link: http://hi.baidu.com/justear/blog/item/4a4fd2ec892820382df53402.html 2010-12-7 12:35 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 6 楼期待楼主开源，呵呵 2010-12-7 13:13 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 7 楼顶这个，同时，共享一个010 Editor（http://bbs.pediy.com/showthread.php?t=125754）的插件。这个能解析PDF 的。而且很直观，解密也行。上传的附件： PDFTemplate.rar （3.36kb，144次下载） 2010-12-7 15:41 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 8 楼 010 Editor我也用过，PDFTemplate.bt这个我也在这里分享过http://bbs.pediy.com/showthread.php?t=125500,不过做着个小工具之前确实没用过PDF Stream Dumper。。要是用过的话就真没必要写了。怎么着也没别人写的好啊 2010-12-7 16:12 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 9 楼我觉得楼主没必要妄自菲薄，为什么说自己没有别人做的好呢，敢于去做，而且做出来了，这就是最大的价值 2010-12-7 16:48 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 10 楼加密加密流对象呢，，并不加密PDF中的那些关键字段 2010-12-7 18:45 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 11 楼其实 PDF Dumper有一些bug的。呵呵，话说流的加密与解密貌似也可以在工具上做吧。 2010-12-7 22:07 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 12 楼最后，如果你想你的软件能火，还是希望你公开代码。 2010-12-7 22:07 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 13 楼 PDF的加密很简单吗？ 2010-12-8 00:03 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 14 楼貌似不简单吧，我没研究过加密那部分 2010-12-8 09:12 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 15 楼流中有关键字段的~ 2010-12-8 09:24 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 16 楼加密这块我到没细研究过，完了一定看看 2010-12-8 09:26 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 17 楼加密？是说的pdf文档加密还是指shellcode被编码压缩的部分？ 2010-12-8 09:29 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 18 楼他们说的应该是pdf文件被加过密的。。shellcode编码解码那完全是在stream里面。对解析pdf文件的关键字段没什么影响吧 2010-12-8 09:33 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 19 楼如果不是做pdf阅读器的话，这部分内容应该是没有必要去解析的吧？ 2010-12-8 09:50 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 20 楼嗯嗯.... 2010-12-8 10:12 0
仙果雪币： 1491 活跃值： (975) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 64 关注私信	仙果 19 21 楼共享下源码吧，呵呵，，你知道我的联系方式吧。。 2010-12-8 10:38 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 22 楼要不加QQ吧，以后多交流呵呵 2010-12-8 10:41 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 23 楼我简单研究了一下，发在论坛上，希望对你有用。 2010-12-8 12:23 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 24 楼太谢谢了！！ 2010-12-8 12:35 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 25 楼上传代码了。写了很挫！！勿拍 2011-1-12 23:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复