일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 파이썬 외부프로그램 실행
- c# xml 파싱
- 파이썬
- Python GetProcAddress
- c# 디렉토리 파일 조회
- c# 파일 읽기쓰기
- PowerShell
- 한글 악성코드
- FTP Server/Client
- 파워쉘
- c# 외부 프로그램 실행
- Universal ShellCode
- pdf 악성코드
- Python Win32 API
- hex2bin
- Hover Action
- VMware
- TCP Socket
- UDP Server/Client
- 최순실 악성코드
- c# 파일명 변경
- anti vm
- 악성코드
- vbscript
- c# 프로그램 종료
- TCP Server/Client
- PPT Malware
- Mouse Over
- c# 파일 IO
- Python LoadLibrary
- Today
- Total
목록pdf 악성코드 (2)
그냥저냥
우선 PDFiD.py로 분석대상 파일의 구조를 확인하자. 해당 파일 내에는 자바스크립트와 임베디드된 파일이 존재한다는 것을 알 수 있다. 이제 peepdf로 각 오브젝트에 대한 상세내용을 보도록 하자.가장 먼저 확인해야할 자바스크립트 관련 오브젝트는 3번과 7번 오브젝트에 존재하는 것을 확인할 수 있다. 우선 7번 오브젝트를 살펴보도록 하자. 7번 오브젝트는 8번 오브젝트를 참조하고 있고, 8번 오브젝트의 스트림을 확인해보면 아래 사진처럼 난독화된 자바스크립트 코드를 확인할 수 있다. (난독화라 하기도 애매한...그냥 코드 중간중간 주석문이 들어간 것 뿐이다.) 8번 오브젝트를 파일로 추출한 후 중간중간 삽입되어있는 주석문을 제거하면 아래처럼 깔끔한 자바스크립트 코드를 볼 수 있다.this.subject..
* 전체 행위 요약 PDFiD 스크립트로 먼저 PDF 문서 구조를 확인해보면 문서 내 JavaScript가 존재하는 것을 알 수 있다. 이제 peepdf 스크립트로 자바스크립트 내용을 확인해보자자바스크립트 코드가 존재하는 오브젝트는 3번과 10번 오브젝트 임을 알 수 있다. 순서는 굳이 상관없으니 우선 10번 오브젝트부터 확인하기위해 object 10 명령을 입력한다.10번 오브젝트는 9번 오브젝트와 8번 오브젝트를 참조하고 있는데, 9번 오브젝트는 임베디드된 파일 데이터를 가리키고있고, 8번 오브젝트는 자바스크립트 데이터를 가리키고 있다. 먼저 자바스크립트 코드를 확인하기위해 8번 오브젝트를 살펴보자 8번 오브젝트의 내용을 보면 3번 오브젝트를 참조하는 것을 알 수 있고, 다시 3번 오브젝트의 내용을 ..