2010年9月7日星期二

惡意文檔分析工具


1、Offvis

Offvis - 顯示微軟office文件的原始內容和結構, 並能鑑別一些常見的exploit

微軟MSRC小組開發的可視化掃瞄工具,結合OLESS格式和office文檔格式做了詳細分析,

可以清楚地看清Office文檔的結構,並能識別一些常見的漏洞文檔。


http://go.microsoft.com/fwlink/?LinkId=158791下載

參考文檔. OffVis 1.0 Beta: Office Visualization Tool article

覺得文件格式解析這部分功能比較有用。

  2. OfficeCat

OfficeCat 根據一些已知的漏洞在微軟office文件中掃瞄嵌入的利用程序(exploit)

能識別的漏洞編號較多。

  3.OfficeMalScanner

OfficeMalScanner - 可以定位微軟office(DOC, XLS, and PPT) 文件中的shellcodeVBA

下載地址:http://www.reconstructer.org/code/OfficeMalScanner.zip

實際試用的結果發現並不好,大部分東西掃不出來。 

另外還有幾篇可以參考的文檔:

 Analyzing MSOffice Malware with OfficeMalScanner (follow-up presentation)

 

Methods for Understanding and Analyzing Targeted Attacks with Office Documents (video)


4、Pdf tools

 

Pdf tools Didier Steven 發佈的幾個工具python的集合。

pdf-parser用於對pdf做簡單分析用於對pdf做簡單分析。

make-Pdf可以用來構造出一個簡單的Pdf 件,特別是對於action script類型造成的溢出,可以用這個小工具構造。

pdfid 鑑別PDF文件的關鍵元素

5、 PDF Dissector
著名的zynamics公司發佈的工具。
 
PDF Dissector是一款用於惡意PDF格式文件的分析工具。PDF Dissector 可以幫助理解惡意PDF文件的結構,報告PDF文件中包含的已知漏洞,利用重構功能的使用,瞭解JavaScript代碼混淆,使用內置的JavaScript解釋器來調試惡意JavaScript代碼,使用和擴展內置的Adobe Reader模擬器模擬惡意PDF文件的執行環境,在IDA的協助下從PDF文件中提取shellcode。另外PDF Dissector支持用腳本插件擴展,可開發符合自身需求的插件。

可惜的是該工具不讓試用。


6、 opaf
Open PDF Analysis Framework可以解析、解壓縮、反混淆一個複雜的PDF文件為一個清晰的XML文件。另外,opaf使用了python語言的PLY解析模塊。
工具更多信息及下載地址:https://feliam.wordpress.com/2010/08/23/opaf/

http://hi.baidu.com/lisl03/blog/item/3f803819f5b69f4b42a9ad32.html

沒有留言:

發佈留言