在前期的文章中,我们讲到了利用SET社工方式对目标的渗透。通过发送PDF WORD等文档从而获取目前权限。这种危害极大、且最容易得手。而作为普通用户,我们如何防范此类攻击呢?通过本文,让我们一起来学习吧!
如下图,攻击者通常会在邮件中,发送带有恶意代码的附件。
作为普通用户,我们怎样识别附件是否为恶意附件呢?这里为大家分享一款恶意PDF检测工具pdfid,使用也很简单。
pdfid xxx.pdf
如果一个PDF文件没有xref或者trailer关键字段,那么可以确定它不是恶意的PDF文件。同时,JS与JavaScript指明PDF文件中含嵌有JavaScript代码。通常恶意的PDF文件都嵌套有JavaScript代码。这也是判断是否为恶意文件的重要依据。
AA、OpenAction和AcroForm指明当查看PDF文件会自动执行JavaScript代码的动作。
总结
如果一个PDF文件包含有AA或OpenAction自动执行动作的关键字段,而且含有JavaScript代码,那么这个PDF文件就极有可能是恶意的PDF文件。
除了上面的判断方法之外,我们可以利用PDFParser这款工具来查看pdf中的恶意代码。
pdf-parser template.pdf
因此,作为普通用户。要重视邮件钓鱼带来的危害。对于邮件中的附件,我们一定要确定邮件的来源,切莫打开来历不明的邮件。
原文始发于微信公众号(kali笔记):对恶意PDF文件的取证
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论