Sagar-ITCS/PDF-Malware-Analysis

# 🦜 PDF 恶意软件分析 — 项目报告 ``` ██████╗ ██████╗ ███████╗ ███╗ ███╗ █████╗ ██╗ ██╗ ██╗ █████╗ ██████╗ ███████╗ ██╔══██╗██╔══██╗██╔════╝ ████╗ ████║██╔══██╗██║ ██║ ██║██╔══██╗██╔══██╗██╔════╝ ██████╔╝██║ ██║█████╗ ██╔████╔██║███████║██║ ██║ █╗ ██║███████║██████╔╝█████╗ ██╔═══╝ ██║ ██║██╔══╝ ██║╚██╔╝██║██╔══██║██║ ██║███╗██║██╔══██║██╔══██╗██╔══╝ ██║ ██████╔╝██║ ██║ ╚═╝ ██║██║ ██║███████╗╚███╔███╔╝██║ ██║██║ ██║███████╗ ╚═╝ ╚═════╝ ╚═╝ ╚═╝ ╚═╝╚═╝ ╚═╝╚══════╝ ╚══╝╚══╝ ╚═╝ ╚═╝╚═╝ ╚═╝╚══════╝ █████╗ ███╗ ██╗ █████╗ ██╗ ██╗ ██╗███████╗██╗███████╗ ██╔══██╗████╗ ██║██╔══██╗██║ ╚██╗ ██╔╝██╔════╝██║██╔════╝ ███████║██╔██╗ ██║███████║██║ ╚████╔╝ ███████╗██║███████╗ ██╔══██║██║╚██╗██║██╔══██║██║ ╚██╔╝ ╚════██║██║╚════██║ ██║ ██║██║ ╚████║██║ ██║███████╗██║ ███████║██║███████║ ╚═╝ ╚═╝╚═╝ ╚═══╝╚═╝ ╚═╝╚══════╝╚═╝ ╚══════╝╚═╝╚══════╝ ``` ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ CLASSIFICATION : EDUCATIONAL // CYBER THREAT RESEARCH │ │ OPERATOR : root@parrot-os │ │ MODE : STATIC ANALYSIS | NO EXECUTION | SAFE │ │ VERSION : Toolkit v1.0 | Report v1.0 │ │ PLATFORM : Parrot OS Hack The Box Edition │ └─────────────────────────────────────────────────────────────────────────┘ ``` ## 目录 ``` root@parrot:~/pdf-malware-analysis# cat TOC.txt ``` 1. [项目概述](#1-project-overview) 2. [目标](#2-objectives) 3. [什么是 PDF 恶意软件？](#3-what-is-pdf-malware) 4. [工具包如何阻止攻击](#4-how-the-toolkit-stops-attacks) 5. [项目结构](#5-project-structure) 6. [模块详情](#6-module-details) 7. [分析工作流]( 2^23 CVE-2009-0658 → Adobe JBIG2 heap overflow via /JBIG2Decode CVE-2009-1492 → Collab.getAnnots() out-of-bounds read CVE-2009-0927 → Util.printf stack overflow CVE-2009-4324 → media.newPlayer use-after-free ``` #### `[中]` 流混淆 ``` FlateDecode → zlib compression hiding content from AV ASCIIHexDecode → hex-encoded streams evading keyword scanners Object streams (/ObjStm) → hide malicious objects from basic parsers ``` ## 4. 工具包如何阻止攻击 ``` root@parrot:~/pdf-malware-analysis# ./defense_layer.py --explain ``` 该工具包**完全以静态方式执行所有分析** —— 它读取原始 PDF 字节，而不执行任何嵌入的代码。这允许对真正恶意的文件进行安全分析。 ``` ┌─────────────────────────────────────────────────────────────────┐ │ DEFENSE APPROACH: STATIC ANALYSIS ONLY │ │ ───────────────────────────────────────────────────────────── │ │ ✓ Reads raw bytes — NEVER executes any embedded code │ │ ✓ Detects /OpenAction + /JS BEFORE file is opened │ │ ✓ Extracts all JS blocks for safe offline review │ │ ✓ Pulls all C2 URLs and IPs → immediate block list │ │ ✓ Matches 10 known CVE exploit fingerprints │ │ ✓ Assigns severity score → drives analyst response │ │ ✓ Exports JSON report → direct SIEM/SOAR import │ └─────────────────────────────────────────────────────────────────┘ ``` ## 5. 项目结构 ``` root@parrot:~/pdf-malware-analysis# tree pdf_malware_toolkit/ ``` ``` pdf_malware_toolkit/ ├── main.py ← Entry point — run this (ROOT FOLDER) ├── config.py ← All keywords, patterns, scoring weights ├── requirements.txt ← pip dependencies ├── README.md ← Usage documentation │ ├── utils/ │ ├── __init__.py │ ├── colors.py ← Terminal color helpers (cprint, banner) │ └── file_utils.py ← File I/O, hashing (MD5/SHA1/SHA256) │ └── modules/ ├── __init__.py ├── metadata.py ← MODULE 1: Metadata + anomaly detection ├── keyword_scanner.py ← MODULE 2: Suspicious keyword scanning ├── js_analyzer.py ← MODULE 3: JavaScript extraction + obfuscation ├── ioc_extractor.py ← MODULE 4: URL / IP / CVE extraction ├── risk_scorer.py ← MODULE 5: Weighted risk scoring engine └── report_generator.py ← MODULE 6: Terminal + JSON report output ``` **总计：12 个 Python 文件 | 2 个实用工具模块 | 6 个分析模块** ## 6. 模块详情 ``` root@parrot:~/pdf-malware-analysis# ls -la modules/ ``` ### 模块 1 — `metadata.py` **用途：** 提取 PDF 元数据并检测指示篡改或恶意来源的异常。 | 字段 | 执行的分析 | |-------|--------------------| | `Author` | 标记可疑名称：`test`、`admin`、`attacker`、`hacker` | | `Producer` | 检测已知的恶意 PDF 生成器工具签名 | | `CreationDate` | 标记未来时间戳或 1993 年之前的日期（PDF 发明于 1993 年） | | `ModDate` | 标记早于创建日期的修改日期（篡改） | | `PDF Header` | 验证 `%PDF-` magic bytes —— 检测伪装文件 | | `Page Count` | 为报告完整性进行提取 | ### 模块 2 — `keyword_scanner.py` **用途：** 扫描原始 PDF 二进制文件，检测三个风险级别的 16 个危险对象键。 ``` [HIGH] /JavaScript /JS /OpenAction /Launch /EmbeddedFile [MEDIUM] /AA /XFA /RichMedia /AcroForm /JBIG2Decode /Colors [LOW] /URI /SubmitForm /ImportData /GoToR /ObjStm ``` ### 模块 3 — `js_analyzer.py` **用途：** 提取嵌入的 JavaScript 块并扫描 14 种混淆模式。 ``` JS_OBFUSCATION_PATTERNS = [ r"\beval\s*\(", # eval() — arbitrary code execution r"\bunescape\s*\(", # unescape() — decodes hidden shellcode r"String\.fromCharCode", # Converts char codes to executable strings r"\\u[0-9a-fA-F]{4}", # Unicode escape sequences r"[A-Za-z0-9+/]{60,}={0,2}", # Base64-encoded payloads r"\bexec\s*\(", # exec() calls r"ActiveXObject", # Windows ActiveX (CRITICAL) r"WScript\.Shell", # Windows shell execution r"document\.write\s*\(", # DOM manipulation r"setTimeout\s*\(", # Delayed execution (evasion) r"loadBinary", # Binary loading r"getAnnots\s*\(", # CVE-2009-1492 trigger r"getIcon\s*\(", # CVE-2009-0927 trigger r"spell\.customDictionaryOpen", # CVE-2009-1493 trigger ] ``` ### 模块 4 — `ioc_extractor.py` **用途：** 提取所有失陷指标 (IOC) 并匹配 CVE 漏洞利用指纹。 ``` IOC TYPES EXTRACTED: ▶ URLs → Full URL strings (http/https/ftp) ▶ IP Addresses → Public IPv4 addresses (private IPs filtered) ▶ Email Addresses → Sender/contact addresses ▶ CVE Exploits → 10 fingerprint patterns matched against raw content ▶ Domains → Unique domain names from all found URLs ``` ### 模块 5 — `risk_scorer.py` **用途：** 计算加权风险评分并映射到严重性级别。 ### 模块 6 — `report_generator.py` **用途：** 生成人类可读的终端报告和机器可读的 JSON 文件，用于 SIEM 导入。 ## 7. 分析工作流 ``` root@parrot:~/pdf-malware-analysis# python main.py --help ``` 该工具包遵循**线性 7 步流水线**。每个模块将其输出提供给下一步。 ``` ┌─────────────┐ │ LOAD PDF │ Step 1: Hash + validate header └──────┬──────┘ │ ┌──────▼──────┐ │ METADATA │ Step 2: Author, dates, anomalies └──────┬──────┘ │ ┌──────▼──────┐ │ KEYWORDS │ Step 3: 16 suspicious PDF keys └──────┬──────┘ │ ┌──────▼──────┐ │ JAVASCRIPT │ Step 4: Extract + obfuscation scan └──────┬──────┘ │ ┌──────▼──────┐ │IOC EXTRACT │ Step 5: URLs, IPs, CVE fingerprints └──────┬──────┘ │ ┌──────▼──────┐ │ RISK SCORE │ Step 6: Weighted severity engine └──────┬──────┘ │ ┌──────▼──────┐ │ REPORT │ Step 7: Terminal + JSON output └─────────────┘ ``` ### 运行工具包 ``` # 安装依赖 pip install PyPDF2 colorama # 分析真实 PDF python main.py suspicious_invoice.pdf # 运行内置 demo (无需真实恶意软件) python main.py --demo # 显示帮助 python main.py --help ``` ## 8. 检测引擎 ``` root@parrot:~/pdf-malware-analysis# python modules/keyword_scanner.py + js_analyzer.py ``` ### 8.1 关键词扫描器输出（示例） ``` ────────────────────────────────────────────────────────── MODULE 2 │ Suspicious Keyword & Object Detection ────────────────────────────────────────────────────────── [HIGH] /JavaScript found 3x >>> [HIGH] /OpenAction found 2x >>> [HIGH] /EmbeddedFile found 1x >>> [HIGH] /Launch found 1x >>> [MED] /AA found 2x [MED] /JBIG2Decode found 1x [MED] /Colors found 1x [LOW] /URI found 4x [✓] /XFA not found [✓] /RichMedia not found ────────────────────────────────────────────────────────── [!] 8 suspicious keywords detected. [!] HIGH-RISK keys present: /JavaScript, /OpenAction, /EmbeddedFile, /Launch ``` ### 8.2 JavaScript 分析器输出（示例） ``` ────────────────────────────────────────────────────────── MODULE 3 │ JavaScript Extraction & Obfuscation Analysis ────────────────────────────────────────────────────────── [!!!] AUTO-EXECUTE DETECTED! /OpenAction + /JavaScript found together. This PDF runs JavaScript AUTOMATICALLY when opened. Risk: Attacker can exploit Adobe Reader without any user click. Scanning for JS obfuscation patterns... [!] Obfuscation: \beval\s*\( Sample → eval(unescape('%66%75%6e%63%74...')) [!] Obfuscation: ActiveXObject Sample → new ActiveXObject('WScript.Shell') [!] Obfuscation: WScript\.Shell Sample → shell.Run('cmd.exe /c powershell...') [!] Obfuscation: String\.fromCharCode Sample → String.fromCharCode(87,83,99,114,105,112,116) [!] 2 JavaScript block(s) extracted: ── JS Block #1 (first 200 chars) ── eval(unescape('%66%75%6e%63%74%69%6f%6e%20%64%72%6f%70')); var shell = new ActiveXObject('WScript.Shell'); shell.Run('cmd.exe /c powershell -nop -w hidden...') [!] 4 obfuscation technique(s) found. ``` ## 9. IOC 提取 ``` root@parrot:~/pdf-malware-analysis# python modules/ioc_extractor.py suspicious.pdf ``` ### 9.1 IOC 提取输出示例 ``` ────────────────────────────────────────────────────────── MODULE 4 │ IOC Extraction (URLs · IPs · Emails · CVE Exploits) ────────────────────────────────────────────────────────── [!] 3 URL(s) found: • http://malicious-payload-server.ru/download/dropper.exe • http://phishing-bank-login.com/secure/verify-account • http://c2-server-tracker.cn/beacon/checkin [i] Unique domains (3): malicious-payload-server.ru, phishing-bank-login.com, c2-server-tracker.cn [!] 2 public IP address(es) found: • 198.51.100.42 ← Check: https://www.abuseipdb.com/check/198.51.100.42 • 192.0.2.99 ← Check: https://www.abuseipdb.com/check/192.0.2.99 [i] 1 email address(es) found: • attacker@evil-domain.ru Scanning for known CVE exploit patterns... [!!!] EXPLOIT PATTERN MATCHED: CVE : CVE-2009-0658 (Adobe JBIG2 heap overflow) Rule : /JBIG2Decode Action: Apply relevant Adobe Reader/Acrobat patches immediately. [!!!] EXPLOIT PATTERN MATCHED: CVE : CVE-2010-0188 (LibTIFF integer overflow) Rule : /Colors\s*>\s*2[0-9]{2} Action: Apply relevant Adobe Reader/Acrobat patches immediately. IOC Summary → URLs: 3 IPs: 2 Emails: 1 CVEs: 2 ``` ### 9.2 所有支持的 CVE 指纹 | CVE | 描述 | PDF 模式 | |-----|-------------|-------------| | `CVE-2009-0658` | Adobe JBIG2 堆溢出 | `/JBIG2Decode` | | `CVE-2010-0188` | LibTIFF 整数溢出 | `/Colors > 2XX` | | `CVE-2009-1492` | Collab.getAnnots 漏洞利用 | `getAnnots()` | | `CVE-2009-0927` | Util.printf 栈溢出 | `getIcon()` | | `CVE-2009-1493` | 拼写字典漏洞利用 | `spell.customDictionaryOpen` | | `CVE-2009-4324` | media.newPlayer 释放后重用漏洞 | `media.newPlayer` | | `CVE-2007-5659` | util.printf 栈溢出 | `Acrobat.app.doc` | | `XFA-FORM` | 基于 XFA 的表单漏洞利用 | `rawValue=` | | `SWF-EMBED` | Flash 嵌入式漏洞利用 | `swfdata` | | `SHELLCODE` | NOP-sled / 缓冲区填充 | `\x41\x41\x41\x41` | ## 10. 风险评分引擎 ``` root@parrot:~/pdf-malware-analysis# python modules/risk_scorer.py --input results.json ``` ### 10.1 评分权重 | 发现项 | 分值 | |---------|--------| | 存在 JavaScript | `+25` | | `/OpenAction` 自动执行 | `+20` | | 检测到嵌入文件 | `+30` | | `/Launch` 动作 | `+35` | | CVE 漏洞利用模式匹配 | 每个 `+40` | | JS 混淆技术 | 每个 `+20` | | 额外可疑关键词 | 每个 `+5` | | 发现独立 URL 域名 | 每个 `+5` | | 发现公网 IP 地址 | 每个 `+10` | ### 10.2 严重性区间 ``` ┌──────────────┬───────────┬───────────────────────────────────────────────┐ │ SCORE │ SEVERITY │ ANALYST ACTION │ ├──────────────┼───────────┼───────────────────────────────────────────────┤ │ 0 – 20 │ CLEAN │ No action required. Safe to review. │ │ 21 – 50 │ LOW │ Review manually. Do not share. │ │ 51 – 80 │ MEDIUM │ Submit to sandbox. Do not open on live system.│ │ 81 – 120 │ HIGH │ Quarantine. Open SOC incident ticket. │ │ 121+ │ CRITICAL │ DO NOT OPEN. Preserve as evidence. Notify now.│ └──────────────┴───────────┴───────────────────────────────────────────────┘ ``` ### 10.3 评分计算示例 ``` Score Breakdown: +25 JavaScript present in PDF +20 /OpenAction auto-execute on open +30 Embedded file (possible payload) +35 /Launch action (runs external program) +40 Exploit: CVE-2009-0658 (Adobe JBIG2 heap overflow) +40 Exploit: CVE-2010-0188 (LibTIFF integer overflow) +20 JS obfuscation: eval() +20 JS obfuscation: ActiveXObject +5 Keyword: /AA +5 Keyword: /JBIG2Decode +5 URL domain: malicious-payload-server.ru +5 URL domain: c2-server-tracker.cn +10 IP address: 198.51.100.42 +10 IP address: 192.0.2.99 ──────────────────────────────────── TOTAL RISK SCORE : 270 SEVERITY LEVEL : ██████ CRITICAL ██████ Analyst Action → DO NOT OPEN. Preserve evidence. Notify security team NOW. ``` ## 11. 示例分析输出 ``` root@parrot:~/pdf-malware-analysis# python main.py demo_malicious_sample.pdf ``` ``` ╔══════════════════════════════════════════════════════════════╗ ║ PDF MALWARE ANALYSIS TOOLKIT v1.0 ║ ║ Static Analysis | IOC Extraction | Risk Scoring ║ ╚══════════════════════════════════════════════════════════════╝ Target : demo_malicious_sample.pdf Size : 1.24 KB (1271 bytes) ────────────────────────────────────────────────────────────── FILE HASHES (VirusTotal / Threat Intel lookup) ────────────────────────────────────────────────────────────── MD5 : a3f9b2c1d4e5f6789012345678901234 SHA1 : b4c5d6e7f8901234567890abcdef1234567890ab SHA256 : 1a2b3c4d5e6f7890abcdef1234567890abcdef1234567890abcdef1234567890 [i] Search on VirusTotal: https://www.virustotal.com/gui/file/1a2b3c4d... ────────────────────────────────────────────────────────────── MODULE 1 │ Metadata Extraction & Anomaly Detection ────────────────────────────────────────────────────────────── Title : Invoice_Q4_2023.pdf Author : TestUser Creator : Exploit-Kit-Gen 2.0 Producer : MalPDF Builder CreationDate : D:20231010120000 page_count : 1 pdf_header_valid : True pdf_version : 1.4 [!] 2 anomaly/anomalies detected: • Suspicious author name: 'TestUser' • Suspicious producer/tool name: 'MalPDF Builder' ────────────────────────────────────────────────────────────── MODULE 2 │ Suspicious Keyword & Object Detection ────────────────────────────────────────────────────────────── [HIGH] /JavaScript found 1x >>> [HIGH] /OpenAction found 1x >>> [HIGH] /EmbeddedFile found 1x >>> [HIGH] /Launch found 1x >>> [MED] /JBIG2Decode found 1x [MED] /Colors found 1x [✓] /AA not found ... [!] 6 suspicious keyword(s) detected. ────────────────────────────────────────────────────────────── MODULE 3 │ JavaScript Extraction & Obfuscation Analysis ────────────────────────────────────────────────────────────── [!!!] AUTO-EXECUTE DETECTED! This PDF runs JavaScript AUTOMATICALLY when opened. [!] Obfuscation: eval() detected [!] Obfuscation: ActiveXObject detected [!] Obfuscation: WScript.Shell detected [!] 2 obfuscation technique(s) found. ────────────────────────────────────────────────────────────── MODULE 4 │ IOC Extraction ────────────────────────────────────────────────────────────── [!] 3 URL(s) found [!] 2 public IP address(es) found [!!!] CVE-2009-0658 MATCHED [!!!] CVE-2010-0188 MATCHED ────────────────────────────────────────────────────────────── MODULE 5 │ Risk Scoring Engine ────────────────────────────────────────────────────────────── TOTAL RISK SCORE : 270 SEVERITY LEVEL : CRITICAL ────────────────────────────────────────────────────────────── MODULE 6 │ Final Malware Analysis Report ────────────────────────────────────────────────────────────── ╔══════════════════════════════════════════════╗ ║ SEVERITY : CRITICAL ║ ║ SCORE : 270 ║ ╚══════════════════════════════════════════════╝ [✓] JSON report saved → demo_malicious_sample_malware_report.json ══════════════════════════════════════════════════════════════ ANALYSIS COMPLETE │ Severity: CRITICAL │ Score: 270 ══════════════════════════════════════════════════════════════ ``` ## 12. 工具与技术 ``` root@parrot:~/pdf-malware-analysis# pip list && apt list --installed | grep pdfid ``` ### 12.1 Python 库 | 包 | 版本 | 用途 | |---------|---------|---------| | `PyPDF2` | `>=3.0.0` | 结构化 PDF 元数据提取 | | `colorama` | `>=0.4.6` | ANSI 终端彩色输出 | | `hashlib` | 内置 | MD5 / SHA1 / SHA256 哈希 | | `re` | 内置 | 正则表达式 IOC 提取 | | `json` | 内置 | 报告序列化 | | `os / sys` | 内置 | 文件系统和 CLI 处理 | ### 12.2 静态分析工具 | 工具 | 用途 | |------|---------| | `pdfid` | 基于关键词的 PDF 扫描 —— 快速分诊 | | `pdf-parser.py` | 深度对象级 PDF 解析 | | `peepdf` | 高级 PDF 分析 —— 流解码 | | `qpdf` | 用于分析的流解压 | | `strings` | 二进制内容检查 | ### 12.3 威胁情报与沙箱 | 服务 | 用途 | |---------|---------| | `VirusTotal` | 哈希与 URL 威胁情报查询 | | `Any.run` | 在线行为沙箱（安全） | | `Cuckoo Sandbox` | 自托管的行为分析 | | `AbuseIPDB` | IP 信誉检查 | | `URLscan.io` | URL 分析与屏幕截图 | ### 12.4 安装 ``` # 克隆 / 解压 toolkit cd pdf_malware_toolkit/ # 安装 Python 依赖 pip install -r requirements.txt # 可选：安装分析 CLI 工具 (Parrot OS / Kali) sudo apt install pdfid python3-peepdf qpdf ``` ## 13. 缓解与防御指南 ``` root@parrot:~/pdf-malware-analysis# cat /etc/defense_playbook.conf ``` ### 13.1 如何防御 PDF 恶意软件 - **在 Adobe Reader 中禁用 JavaScript：** `Edit → Preferences → JavaScript → 取消勾选 Enable Acrobat JavaScript` - **使用更安全的 PDF 阅读器：** 带有权限限制的 Sumatra PDF 或 Foxit Reader - **绝不要打开来自未知发件人的 PDF 附件** 在打开之前务必验证发件人域名 - **在打开可疑文件之前提交至 VirusTotal：** `https://virustotal.com` —— 粘贴 SHA256 哈希 - **应用所有 Adobe Reader / Acrobat 安全补丁** 特别是针对 CVE-2010-0188 及相关漏洞 - **配置电子邮件网关以对 PDF 附件进行沙箱处理** 在将其分发至终端之前自动处理 - **在防火墙 / DNS 级别阻止所有 IOC 域名和 IP** 使用工具包 JSON 输出中提取的 IOC 列表 ### 13.2 基于严重性的响应行动手册 ``` ┌──────────┬───────────────────────────────────────────────────────────┐ │ SEVERITY │ RESPONSE ACTIONS │ ├──────────┼───────────────────────────────────────────────────────────┤ │ CLEAN │ No action. Safe to open in updated PDF viewer. │ ├──────────┼───────────────────────────────────────────────────────────┤ │ LOW │ Review extracted URLs manually. │ │ │ Keep reader updated. Do not forward to others. │ ├──────────┼───────────────────────────────────────────────────────────┤ │ MEDIUM │ Do NOT open on live system. │ │ │ Submit to Any.run / Cuckoo for behavioral analysis. │ │ │ Cross-check URLs with URLscan.io and VirusTotal. │ ├──────────┼───────────────────────────────────────────────────────────┤ │ HIGH │ Quarantine file and sender immediately. │ │ │ Open SOC incident ticket. │ │ │ Block all extracted IOCs at firewall and DNS. │ │ │ Preserve original file as forensic evidence. │ ├──────────┼───────────────────────────────────────────────────────────┤ │ CRITICAL │ DO NOT open under any circumstances. │ │ │ Hash the file first — do NOT modify it. │ │ │ Notify the security team immediately. │ │ │ Block all IOCs. Apply CVE patches now. │ │ │ Disable JavaScript in all PDF readers org-wide. │ └──────────┴───────────────────────────────────────────────────────────┘ ``` ## 14. 学习成果 ``` root@parrot:~/pdf-malware-analysis# cat skills_acquired.log ``` | 技能领域 | 学习内容 | |------------|-----------------| | PDF 内部机制 | 对象键、流以及攻击者如何滥用它们 | | 静态恶意软件分析 | 在不执行的情况下安全地检查文件内容 | | JavaScript 分析 | 混淆模式：eval、unescape、base64、charCode | | IOC 提取 | 为威胁情报工作流提取指标 | | 风险评分 | 加权评分以优先处理分析师的响应 | | Python 开发 | 构建模块化、可维护的安全工具 | | SOC 报告 | 安全运营团队可用的结构化报告 | | SIEM 集成 | 可导入 Splunk、QRadar、Sentinel 的 JSON 输出 | | 蓝队行动 | 识别、隔离和报告 PDF 威胁 | ## 15. 交付物 ``` root@parrot:~/pdf-malware-analysis# ls -lh deliverables/ ``` | # | 文件 | 描述 | |---|------|-------------| | `01` | `pdf_malware_parrot_documentation.docx` | 完整的项目 Word 文档（Parrot OS 主题） | | `02` | `pdf_malware_parrot_presentation.pptx` | 最终幻灯片演示文稿 —— 11 张幻灯片（Parrot OS 主题） | | `03` | `pdf_malware_analysis_report.md` | 这份 Markdown报告 | | `04` | `pdf_malware_toolkit.zip` | Python 工具包 —— 12 个模块化源文件 | | `05` | `workflow_diagram` | 7 步流程图（交互式，在聊天中） | ``` ┌─────────────────────────────────────────────────────────────────┐ │ │ │ root@parrot:~/pdf-malware-analysis# echo 'MISSION COMPLETE' │ │ MISSION COMPLETE │ │ │ │ All deliverables generated successfully. │ │ Stay paranoid. Trust no PDF. Patch everything. │ │ │ │ -- root@parrot-os // PDF Malware Analysis Toolkit v1.0 │ │ │ └─────────────────────────────────────────────────────────────────┘ ``` **报告创建者**：SAGAR RATHOD **报告生成时间**：2026 年 3 月 26 日 **项目状态**：功能完整 **领域**：蓝队 / DLP **平台**： | 平台 | 操作系统 | |----------|-------------| | **Windows** | Windows 10, Windows 11 | | **Linux** | Ubuntu, Kali Linux, Parrot OS, Fedora, Debian | | **macOS** | macOS Ventura, Sonoma, Monterey | **最新版本**：1.0

标签：DNS信息、DNS暴力破解, DNS 反向解析, DNS 解析, Go语言工具, pdftotext, PDF恶意软件分析, Python, RuleLab, TTP分析, YARA规则, 云资产清单, 威胁分析, 威胁情报, 安全分析报告, 安全防护, 开发者工具, 恶意文档检测, 恶意软件研究, 攻击向量, 数字取证, 文档木马, 无后门, 样本分析, 沙箱分析, 网络安全, 自动化侦查工具, 自动化脚本, 逆向工具, 逆向工程, 隐私保护