اطلاق أداة جديدة تقوم بالكشف على ملفات pdf قبل تشغيلها

الكاتب: | يوم: 29 أبريل, 2010 | التعليقات: 5 | القراءات: - عدد المشاهدات 17٬083

أطلق الباحث ديدر ستفينز أداة جديدة (pdfid.py)، تساعد الكشف عمّا إذا كان ملف pdf يحتوي على أكواد مشبوهة من خلال بحثه عن كلمات معيّنة داخل هذه الملف. هذا يساعد في الكشف عمّا اذا كان هناك كود جافا سكريبت (والتي تكاد تكون موجودة في كل الملفات المشبوهة)، أو اذا كان الملف يحتوي على اكواد اطلاق لبرامج، والتي ذكرنها في مشاركة سابقة.

بعد عمليّة المسح بهذه الأداة، يمكن استخدام أداة أخرى صدرت حديثاً أيضاً وتدعى (pdf-parser.py) تقوم بعملية تحليل للاقسام المشبوهة في الملف.

امثلة على استخدام الأداة pdfid.py

هذه قائمة بالكلمات التي تقوم الأداة بالبحث عنها، وتعداد عدد مرّات ظهورها:

    *  obj
    * endobj
    * stream
    * endstream
    * xref
    * trailer
    * startxref
    * /Page
    * /Encrypt
    * /ObjStm
    * /JS
    * /JavaScript
    * /AA
    * /OpenAction
    * /JBIG2Decode
    * /RichMedia
    * /Launch

لتحميل الأداة اضغط هنا

تحديث: الاصدارة الحالية تحتاج الى تحليل للنّتائج، والباحث هو الذي يستطيع بناء على نتيجة تحليله نفي أو اثبات ان الملف يحتوي على كود مشبوه بناءاً على مخرجات الأداة. الاداة نفسها لن تخبر المستخدم أنّ هذا يحتوي على كود مشبوه. بعد تشغيل هذه الاداة يمكن تشغيل الاداة الاخرى لتحليل معمّق للملف. يمكن هنا مشاهدة عمل الاداتان معاً.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

اترك تعليقاً | عدد التعليقات: (5)

  1. يقول Ghost Hacker:
    أبريل 29, 2010 الساعة 7:20 م

    أداة جيدة . لكن برامج الأنتي فايروس الا تقوم بدورها بكشف الشيفرات الضارة المدمج في ملفات الـ PDF ؟؟
    شكراً على الأداة

    رد
    • يقول بشار:
      أبريل 29, 2010 الساعة 8:02 م

      مشكور أخي Ghost على المرور. هذه الاداة تستخدم في التحليل أكثر. فهي لا تقوم بنفس العمل الذي يقوم به برنامج مكافحة الفيروسات. هي تقوم بالبحث عن وجود كلمات معينة تظهرها مع عددها. ويمكن للباحثين التكهّن بوجود كود خبيث ضمن الملف بناءاً على مخرجات الأداة. ولكنّها على الأقل الاصدارة الحالية لن تقوم باخبارك بانها اكتشفت كود خبيث اسمه كذا مثلاً.

      رد
  2. يقول Ghost Hacker:
    أبريل 30, 2010 الساعة 7:24 م

    أي أن برامج الأنتي فايروس تقوم بكشف ملفات الـ pdf الضارة بناء على قواميس/ قاعدة الفايروسات الخاصة بها
    أما الأداة تقوم بتحليلها عن طريق البحث داخلها عن الاكواد الخبيثه او المشتبه بها .
    هذا ماترمي اليه أستاذ بشار ؟؟

    رد
  3. يقول Mr.Hx:
    سبتمبر 12, 2010 الساعة 3:07 م

    مشكور اخوي واداه رائعه ويمكن اضافه كلمات اخرى للبحث

    رد
  4. يقول salman:
    مايو 10, 2016 الساعة 5:04 م

    ماشاء الله موقع متميز بكل مافيه من مواضيع ….
    لدي سؤال ماذا يكفيني كمستخدم لحماية جهازي وحساباتي من المخترقين ؟
    بالرغم اني مستهدف !

    رد

أكتب تعليق