- 30 Eyl 2017
- 1,532
- 5
Bu makale tarafımca TurkHackTeam.Org için çevrilmiştir. Orijinal içeriğe PEEPDF - Tool for PDF Document Forensic Analysis adresinden ulaşabilirsiniz.
Peepdf, pdf belgelerinin adli analizi için kullanılan bir araçtır. Bir çok sosyal müdhendislik saldırısı, java script ve shell kodları ile gömülü kötücül PDF belgeleri kullanır.
Bir PDF belgelesindeki şüphe duyulan objeleri ve veri akışlarını analiz edebilir. Halı hazırda bazı uzantıları yüklü olan bir güvenlik araştırmacısı, java script ve shell kodlarını detaylıca analiz edebilir.
Peepdf'in en iyi özelliklerinden bazıları:
1. PDF belgelerini analiz etmek
2. Veri objelerini ve akışlarını ayıklamak
3. Métaveri ayıklamak
4. Ayrıca, şifrelenmiş veri dosyalarını da ayıklamak
5. Sağlanan XML çıktıları
6. İnteraktif (etkileşimli) konsol
Bir güvenlik araştırmacısı bu aracı ya gizli shell kodlarını veya java scriptlerini ya da CVE-2013-2729 vb. gibi standart açıkları bile kontrol etmek için kullanabilir. Bir diğer kullanımı da siber suç analizi içindir.
Bir adli araştırmacı bunu desen eşleştirme amacıyla kullanabilsin, shellcode'u analiz edebilsin, basitçe métaveriyi ayıklayabilsin ardından kötücül kodların olup olmadığını belirleyip bunu kanıt olarak kullanabilsin diye Peepdf; belgenin tüm métaverileri ve veri akışlarını ayıklayabilir.
Seçenekler - Peepdf
Peepdf, pdf belgelerinin adli analizi için kullanılan bir araçtır. Bir çok sosyal müdhendislik saldırısı, java script ve shell kodları ile gömülü kötücül PDF belgeleri kullanır.
Bir PDF belgelesindeki şüphe duyulan objeleri ve veri akışlarını analiz edebilir. Halı hazırda bazı uzantıları yüklü olan bir güvenlik araştırmacısı, java script ve shell kodlarını detaylıca analiz edebilir.
Peepdf'in en iyi özelliklerinden bazıları:
1. PDF belgelerini analiz etmek
2. Veri objelerini ve akışlarını ayıklamak
3. Métaveri ayıklamak
4. Ayrıca, şifrelenmiş veri dosyalarını da ayıklamak
5. Sağlanan XML çıktıları
6. İnteraktif (etkileşimli) konsol
Bir güvenlik araştırmacısı bu aracı ya gizli shell kodlarını veya java scriptlerini ya da CVE-2013-2729 vb. gibi standart açıkları bile kontrol etmek için kullanabilir. Bir diğer kullanımı da siber suç analizi içindir.
Bir adli araştırmacı bunu desen eşleştirme amacıyla kullanabilsin, shellcode'u analiz edebilsin, basitçe métaveriyi ayıklayabilsin ardından kötücül kodların olup olmadığını belirleyip bunu kanıt olarak kullanabilsin diye Peepdf; belgenin tüm métaverileri ve veri akışlarını ayıklayabilir.
Seçenekler - Peepdf
Kod:
Sözdizimi: peepdf <options> PDF-FILE
Kod:
-h, --help Yardım mesajını gösterir ve çıkar.[/SIZE][/CENTER]
[SIZE=3][CENTER]
-i, --interactive Konsol modunu ayarlar.
-s SCRIPTFILE, --load-script=SCRIPTFILE Belirtilen dosyadaki kayıtlı komutları yükler ve çalıştırır.
-f, --force-mode Hataları görmezden gelmek için zorla çözümleme modunu ayarlar.
-l, --loose-mode Kusurlu nesneleri yakalamak için gevşek çözümleme modunu ayarlar.
-u, --update Veri havuzundan güncel dosyalar ile peepdf'i günceller.
-g, --grinch-mode İnteraktif konsoldaki renklendirilen çıktıyı korur.
-v, --version Programın versiyon numarasını gösterir
-x, --xml XML formatında belge detaylarını görüntüler.
Laboratuvar 1: Spidermonkey & Pylibemu Kurulumu
Bu laboratuvarda javascript ve shell kodlarını incelemek için 3 ek paket yükleyeceğiz. Paketler:
1. libemu - Temel x86 emülasyon ve shell kodu bulma
2. Pylibemu - Libemu kütüphanesi için Python Wrapper
3. Spidermonkey - JavaScript Motoru
1. Adım : Libemu Kurulumu
İlk önce, gerekli destek dosyaları ve python dosyalarını yüklemeliyiz.
Kod:
apt-get install autoconf libemu python-dev python-lxml python-pyrex
Paketi Git'ten indirin. Git-core'un yüklü olduğundan emin olun. Git, Kali'de önyüklenmiş olarak gelir.
Kod:
git clone git://git.carnivore.it/libemu.git
Git'ten Libemu'yu yapılandırıp yükleyin.
Kod:
cd libemu/[/COLOR][/SIZE][/SIZE][/CENTER]
[SIZE=3][SIZE=3][COLOR=White]
[CENTER]autoreconf -v -i
./configure --enable-python-bindings --prefix=/opt/libemu
make -j4
make install
ldconf -n /opt/libemu/lib
2.Adım : Pylibemu kurulumu
Tekrardan, ilk Git'ten indirin.
Kod:
git clone https://github.com/buffer/pylibemu.git
Pylibemu'yu kurun.
Kod:
echo "/opt/libemu/lib" > /etc/ld.so.conf.d/pylibemu.conf[/COLOR][/SIZE][/COLOR][/SIZE][/SIZE][/CENTER]
[SIZE=3][SIZE=3][COLOR=White][SIZE=3][COLOR=White]
[CENTER]
python setup.py build
python setup.py install
3.Adım Spidermonkey Kurulumu
Kod:
apt-get install python-pyrex[/SIZE][/COLOR][/SIZE][/COLOR][/SIZE][/SIZE][/CENTER]
[SIZE=3][SIZE=3][COLOR=White][SIZE=3][COLOR=White][SIZE=3]
[CENTER]
svn checkout http://python-spidermonkey.googlecode.com/svn/trunk/ python-spidermonkey
cd python-spidermonkey
python setup.py build
python setup.py install
ldconfig