PdfStreamDumper是一款免费的恶意PDF文档分析工具,它和可以辅助做PDF漏洞利用,可以处理混淆过的javascript代码,不常见的PDF头和对象以及shellcode,集成了libemu sctest借口,并能够将shellcode转换为exe,javascript工具提供代码格式化功能,方便分析人员查看。
功能介绍
支持的过滤器。FlateDecode, RunLengthDecode, ASCIIHEXDecode, ASCII85Decode, LZWDecode, JBIG2, CCITTFaxDecode, DecodePredictors。
集成的shellcode工具。
sclog gui (我在iDefense写的Shellcode分析工具)
基于scdbg libemu的Shellcode分析工具。
Shellcode_2_Exe功能
将未压缩的字节导出到文件
支持过滤器链(即多个过滤器应用于同一流)。
支持对pdf编码的标题进行解压缩
可编写脚本的接口,用于处理多个文件和生成报告。
查看所有pdf对象
泄洪
查看流的详细信息,如文件偏移,头等。
保存原始和放气数据
检索流
扫描含有pdf漏洞的函数(傻瓜扫描)。
使用js美化器格式化javascript(见readme中的学分)。
以十六进制转储的方式查看数据流
zlib压缩/解压任意文件。
用你自己的数据替换/更新pdf流。
基本的javascript接口,使你可以运行部分嵌入式脚本+支持使用MS Script Debugger。
PdfDecryptor w/source - 使用iTextSharp,需要.net framework 2.0。
基本的Javascript去obsfuscator
可以隐藏:仅头流、重复流、选定流。
js ui还可以访问一个工具箱类,以实现
简化零散字符串
读写文件
做十六进制转储
做uni code安全解逃
拆装机引擎
复制一些常见的Adobe API(新)。
当前的自动化脚本包括
csv_stats.vbs - 根据目录中所有文件的下限状态栏的结果建立csv文件。
pdfbox_extract.vbs - 使用pdfbox从当前文件中提取所有图像和文本。
string_scan.vbs - 扫描目录下所有文件中的所有解压流,寻找您输入的字符串。
unsupported_filters.vbs - 扫描一个目录,并建立所有有不支持的过滤器的pdfs的列表。
filter_chains.vbs - 递归地扫描父目录,查找在一个流上使用多个编码过滤器的pdfs。
obsfuscated_headers.vbs - 递归地扫描父目录下有 obsfuscated 对象头的 pdfs。
pdfbox_extract_text_page_by_page.vbs - 使用pdfbox提取页面数据到单个文件中。
当前的插件包括
Build_DB.dll - 在多个样本中搜索和排序数据,移动和组织文件。
obj_bro wser.dll - 以文本形式查看pdf中的布局和数据。