Raj7l69/PDF-Malware-Analysis-Toolkit
GitHub: Raj7l69/PDF-Malware-Analysis-Toolkit
一个基于 Python 的静态 PDF 恶意软件分析工具包,专注于在不执行文件的情况下检测 IOCs 并生成风险评估报告。
Stars: 0 | Forks: 1
# PDF 恶意软件分析工具包
## 快速开始(命令语法)
通过提供 PDF 文件从终端运行工具:
python3 pdf_malware_analysis_tool.py
示例:
python3 pdf_malware_analysis_tool.py test.pdf
## 简介
PDF 文件广泛用于文档共享和通信。由于其受信任的性质,攻击者经常利用 PDF 文档来传递恶意软件、网络钓鱼载荷和漏洞利用。恶意 PDF 可能包含嵌入的 JavaScript、隐藏对象、编码流,或在文档打开时触发的自动操作。
PDF 恶意软件分析工具包是一个基于 Python 的静态分析工具,旨在安全地分析 PDF 文件并识别可疑指标,而无需执行文档。该项目反映了 SOC 分析师和事件响应团队在现实世界中的恶意软件分析实践,并是在网络安全实习期间开发的。
## 项目目标
- 了解恶意 PDF 文件的结构
- 执行安全的静态恶意软件分析
- 检测可疑元素,如 JavaScript 和异常对象
- 提取妥协指标(IOCs)
- 生成结构化的恶意软件分析报告
## 项目范围
本项目严格专注于静态分析。该工具包不会执行 PDF 文件。
包含范围:
- 元数据和关键词分析
- PDF 对象结构检查
- 嵌入的 JavaScript 检测
- 字符串提取和 IOC 识别
- 风险级别评估
- 自动报告生成
排除范围:
- 动态分析
- 沙箱执行
- 漏洞触发
## 使用的工具和技术
操作系统:Kali Linux
编程语言:Python 3
分析工具:pdfid、pdf-parser、strings
## 工作流和方法
1. 加载目标 PDF 文件
2. 执行元数据和关键词检查
3. 分析 PDF 对象结构
4. 检查嵌入的 JavaScript
5. 提取可读字符串和 IOC
6. 根据发现计算风险级别
7. 生成详细的分析报告
## 用法(如何运行工具)
前提条件:
sudo apt update
sudo apt install pdfid pdf-parser
命令语法:
python3 pdf_malware_analysis_tool.py
注意: 是一个占位符。请将其替换为实际的 PDF 文件名或路径。
示例:
python3 pdf_malware_analysis_tool.py test.pdf
运行此命令时会发生什么:
- 仅静态分析(不执行)
- 分析元数据、对象、JavaScript 和字符串
- 提取 URL 或 IP 地址等 IOC
- 生成名为 PDF_Malware_Analysis_Report.txt 的报告
## 输出
生成的报告包括:
- 文件详细信息和时间戳
- 风险级别(低 / 中 / 高)
- 元数据和关键词发现
- 对象和 JavaScript 分析
- 提取的 IOC
- 最终安全观察
## 风险评估逻辑
风险基于以下指标进行评估:
- 自动操作(OpenAction)
- 嵌入的 JavaScript
- 压缩或复杂的对象
- 可疑字符串或编码内容
高风险级别表示需要进一步调查,并不确认存在恶意软件。
## 伦理考虑
- 不执行恶意软件
- 仅静态和安全分析
- 教育和防御性使用
## 限制
- 无动态分析
- 可能需要人工解释
## 免责声明
本项目严格用于教育和学习目的。作者不对滥用负责。
## 作者
Rajendra Singh
标签:DAST, IOC检测, JavaScript注入, PDF安全, PDF解析, Python安全工具, SEO, 云安全监控, 取证工具, 威胁情报, 开发者工具, 恶意软件分析, 网络安全, 自动化报告, 隐私保护, 静态分析, 风险评级