اطلاق أداة جديدة تقوم بالكشف على ملفات pdf قبل تشغيلها

أطلق الباحث ديدر ستفينز أداة جديدة (pdfid.py)، تساعد الكشف عمّا إذا كان ملف pdf يحتوي على أكواد مشبوهة من خلال بحثه عن كلمات معيّنة داخل هذه الملف. هذا يساعد في الكشف عمّا اذا كان هناك كود جافا سكريبت (والتي تكاد تكون موجودة في كل الملفات المشبوهة)، أو اذا كان الملف يحتوي على اكواد اطلاق لبرامج، والتي ذكرنها في مشاركة سابقة.

بعد عمليّة المسح بهذه الأداة، يمكن استخدام أداة أخرى صدرت حديثاً أيضاً وتدعى (pdf-parser.py) تقوم بعملية تحليل للاقسام المشبوهة في الملف.

امثلة على استخدام الأداة pdfid.py

هذه قائمة بالكلمات التي تقوم الأداة بالبحث عنها، وتعداد عدد مرّات ظهورها:

    *  obj
    * endobj
    * stream
    * endstream
    * xref
    * trailer
    * startxref
    * /Page
    * /Encrypt
    * /ObjStm
    * /JS
    * /JavaScript
    * /AA
    * /OpenAction
    * /JBIG2Decode
    * /RichMedia
    * /Launch

لتحميل الأداة اضغط هنا

تحديث: الاصدارة الحالية تحتاج الى تحليل للنّتائج، والباحث هو الذي يستطيع بناء على نتيجة تحليله نفي أو اثبات ان الملف يحتوي على كود مشبوه بناءاً على مخرجات الأداة. الاداة نفسها لن تخبر المستخدم أنّ هذا يحتوي على كود مشبوه. بعد تشغيل هذه الاداة يمكن تشغيل الاداة الاخرى لتحليل معمّق للملف. يمكن هنا مشاهدة عمل الاداتان معاً.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (5)

  1. يقول Ghost Hacker:

    أداة جيدة . لكن برامج الأنتي فايروس الا تقوم بدورها بكشف الشيفرات الضارة المدمج في ملفات الـ PDF ؟؟
    شكراً على الأداة

    • يقول بشار:

      مشكور أخي Ghost على المرور. هذه الاداة تستخدم في التحليل أكثر. فهي لا تقوم بنفس العمل الذي يقوم به برنامج مكافحة الفيروسات. هي تقوم بالبحث عن وجود كلمات معينة تظهرها مع عددها. ويمكن للباحثين التكهّن بوجود كود خبيث ضمن الملف بناءاً على مخرجات الأداة. ولكنّها على الأقل الاصدارة الحالية لن تقوم باخبارك بانها اكتشفت كود خبيث اسمه كذا مثلاً.

  2. يقول Ghost Hacker:

    أي أن برامج الأنتي فايروس تقوم بكشف ملفات الـ pdf الضارة بناء على قواميس/ قاعدة الفايروسات الخاصة بها
    أما الأداة تقوم بتحليلها عن طريق البحث داخلها عن الاكواد الخبيثه او المشتبه بها .
    هذا ماترمي اليه أستاذ بشار ؟؟

  3. يقول Mr.Hx:

    مشكور اخوي واداه رائعه ويمكن اضافه كلمات اخرى للبحث

  4. يقول salman:

    ماشاء الله موقع متميز بكل مافيه من مواضيع ….
    لدي سؤال ماذا يكفيني كمستخدم لحماية جهازي وحساباتي من المخترقين ؟
    بالرغم اني مستهدف !

أكتب تعليق