Peepdf : PDF Belgelerinin Adli İncelemesi //

oldnco

Uzman üye
30 Eyl 2017
1,532
5
Bu makale tarafımca TurkHackTeam.Org için çevrilmiştir. Orijinal içeriğe PEEPDF - Tool for PDF Document Forensic Analysis adresinden ulaşabilirsiniz.

Peepdf, pdf belgelerinin adli analizi için kullanılan bir araçtır. Bir çok sosyal müdhendislik saldırısı, java script ve shell kodları ile gömülü kötücül PDF belgeleri kullanır.



Bir PDF belgelesindeki şüphe duyulan objeleri ve veri akışlarını analiz edebilir. Halı hazırda bazı uzantıları yüklü olan bir güvenlik araştırmacısı, java script ve shell kodlarını detaylıca analiz edebilir.



Peepdf'in en iyi özelliklerinden bazıları:




1. PDF belgelerini analiz etmek

2. Veri objelerini ve akışlarını ayıklamak

3. Métaveri ayıklamak

4. Ayrıca, şifrelenmiş veri dosyalarını da ayıklamak

5. Sağlanan XML çıktıları

6. İnteraktif (etkileşimli) konsol



Bir güvenlik araştırmacısı bu aracı ya gizli shell kodlarını veya java scriptlerini ya da CVE-2013-2729 vb. gibi standart açıkları bile kontrol etmek için kullanabilir. Bir diğer kullanımı da siber suç analizi içindir.



Bir adli araştırmacı bunu desen eşleştirme amacıyla kullanabilsin, shellcode'u analiz edebilsin, basitçe métaveriyi ayıklayabilsin ardından kötücül kodların olup olmadığını belirleyip bunu kanıt olarak kullanabilsin diye Peepdf; belgenin tüm métaverileri ve veri akışlarını ayıklayabilir.



Seçenekler - Peepdf




Kod:
Sözdizimi: peepdf <options> PDF-FILE



Kod:
-h, --help Yardım mesajını gösterir ve çıkar.[/SIZE][/CENTER]
[SIZE=3][CENTER]
-i, --interactive Konsol modunu ayarlar.

-s SCRIPTFILE, --load-script=SCRIPTFILE Belirtilen dosyadaki kayıtlı komutları yükler ve çalıştırır.

-f, --force-mode Hataları görmezden gelmek için zorla çözümleme modunu ayarlar.

-l, --loose-mode Kusurlu nesneleri yakalamak için gevşek çözümleme modunu ayarlar.

-u, --update Veri havuzundan güncel dosyalar ile peepdf'i günceller.

-g, --grinch-mode İnteraktif konsoldaki renklendirilen çıktıyı korur.

-v, --version Programın versiyon numarasını gösterir

-x, --xml XML formatında belge detaylarını görüntüler.






Laboratuvar 1: Spidermonkey & Pylibemu Kurulumu







Bu laboratuvarda javascript ve shell kodlarını incelemek için 3 ek paket yükleyeceğiz. Paketler:







1. libemu - Temel x86 emülasyon ve shell kodu bulma



2. Pylibemu - Libemu kütüphanesi için Python Wrapper



3. Spidermonkey - JavaScript Motoru







1. Adım : Libemu Kurulumu








İlk önce, gerekli destek dosyaları ve python dosyalarını yüklemeliyiz.







Kod:
apt-get install autoconf libemu python-dev python-lxml python-pyrex



Paketi Git'ten indirin. Git-core'un yüklü olduğundan emin olun. Git, Kali'de önyüklenmiş olarak gelir.







Kod:
git clone git://git.carnivore.it/libemu.git







Git'ten Libemu'yu yapılandırıp yükleyin.







Kod:
cd libemu/[/COLOR][/SIZE][/SIZE][/CENTER]
[SIZE=3][SIZE=3][COLOR=White]
[CENTER]autoreconf -v -i



./configure --enable-python-bindings --prefix=/opt/libemu



make -j4



make install



ldconf -n /opt/libemu/lib







2.Adım : Pylibemu kurulumu



Tekrardan, ilk Git'ten indirin.



Kod:
git clone https://github.com/buffer/pylibemu.git



Pylibemu'yu kurun.



Kod:
echo "/opt/libemu/lib" > /etc/ld.so.conf.d/pylibemu.conf[/COLOR][/SIZE][/COLOR][/SIZE][/SIZE][/CENTER]
[SIZE=3][SIZE=3][COLOR=White][SIZE=3][COLOR=White]
[CENTER]

python setup.py build



python setup.py install







3.Adım Spidermonkey Kurulumu







Kod:
apt-get install python-pyrex[/SIZE][/COLOR][/SIZE][/COLOR][/SIZE][/SIZE][/CENTER]
[SIZE=3][SIZE=3][COLOR=White][SIZE=3][COLOR=White][SIZE=3]
[CENTER]

svn checkout http://python-spidermonkey.googlecode.com/svn/trunk/ python-spidermonkey



cd python-spidermonkey



python setup.py build



python setup.py install



ldconfig







Peepdf'i çalıştırın ve paketlerin doğru şekilde kurulup kurulmadığına bir bakın. Öylesine herhangi bir PDF dosyasını denemeniz kafi.







Kod:
peepdf evil.pdf <burayı değiştirin>







Eklentiler düzgün kurulmadıysa, peepdf çalıştırıldığında karşınıza paketlerin kurulmadığını söyleyen bir mesaj çıkacaktır.








 

'Execution

Kıdemli Üye
13 Ocak 2018
3,245
28
Ellerine emeklerine sağlık old.:) Gayet güzel ve doğru bir Türkçeyle çevirmişsin başarılar.
 
Son düzenleme:

oldnco

Uzman üye
30 Eyl 2017
1,532
5
Ellerine emeklerine sağlık old.:) Gayet güzel ve doğru bir Türkçeyle çevirmişsin başarılar.

Devamını bekleriz :)

Gayet guzel ellerinize saglik :)



Güzel olmuş elinize sağlık :)


Başarıların daim Olsun .

Teşekkür ederim.
 
Moderatör tarafında düzenlendi:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.