惡意PDF文檔的分析.pdf

1、隨著互聯(lián)網(wǎng)的高速發(fā)展和辦公自動(dòng)化的日益普及，PDF(portabledocumentformat)文件已經(jīng)成為全球電子文檔分發(fā)的開(kāi)放式標(biāo)準(zhǔn)，是繼PostScript文件格式之后的一種新的輸出文件格式。PDF憑借著它的種種優(yōu)勢(shì)，克服了電子文件共享過(guò)程中經(jīng)常遇到的識(shí)別問(wèn)題，使用戶可以在網(wǎng)上自由地瀏覽文件和方便地交換文件，它成為進(jìn)行現(xiàn)代電子文檔分發(fā)的理想格式。但是PDF文檔給人們的工作和生活帶來(lái)許多便利的同時(shí)，也帶來(lái)了許多問(wèn)題。其中，尤其以含

2、有惡意代碼的PDF文檔所造成的危害最大最廣，給企業(yè)和用戶造成了巨大的不可挽回的損失，給互聯(lián)網(wǎng)應(yīng)用帶來(lái)了嚴(yán)峻的威脅和挑戰(zhàn)。由于PDF文檔的高實(shí)用性和普遍適應(yīng)性，因而更加加速了惡意代碼的快速傳播，使其成為惡意代碼常用有效載體。由于惡意代碼對(duì)計(jì)算機(jī)的嚴(yán)重破壞性，檢測(cè)和防止含有惡意代碼的PDF文檔已日益成為計(jì)算機(jī)安全領(lǐng)域的重要目標(biāo)。
　　 在本文中，首先詳細(xì)介紹了PDF文檔的物理結(jié)構(gòu)和邏輯結(jié)構(gòu)，在此基礎(chǔ)上構(gòu)建了PDF文檔結(jié)構(gòu)的自動(dòng)解析系

3、統(tǒng)，此系統(tǒng)可以快速準(zhǔn)確的查看和提取PDF文檔結(jié)構(gòu)中各部分的二進(jìn)制數(shù)據(jù)，尤其是對(duì)各類壓縮流對(duì)象可以快速準(zhǔn)確解壓和提取，這為進(jìn)一步的檢測(cè)和分析提供數(shù)據(jù)支持。其次，對(duì)不同惡意PDF文檔原理進(jìn)行了深入的研究和分析，研究了各類主流惡意PDF文檔中代碼的傳播方式和傳播模型，接著對(duì)現(xiàn)有惡意PDF文檔的攻擊手段，反查殺方式進(jìn)行分析和總結(jié)，以此為基礎(chǔ)研究惡意PDF文檔檢測(cè)的方法和可行性。并且，構(gòu)建了Javascript代碼的解碼引擎，實(shí)現(xiàn)了對(duì)PDF文檔中

4、提取的Javascript代碼和壓縮混淆的Javascript代碼的解碼分析。第三，本文通過(guò)動(dòng)態(tài)分析和靜態(tài)分析相結(jié)合的方式實(shí)現(xiàn)了對(duì)PDF文檔中惡意代碼的分析和惡意行為特征的提取，在YARA惡意特征規(guī)則庫(kù)的基礎(chǔ)上構(gòu)建了新的惡意特征規(guī)則識(shí)別庫(kù)，并建立了一套快速增加惡意特征識(shí)別庫(kù)中特征碼的方法，從而有效的提高了對(duì)PDF文檔中包含的惡意代碼的識(shí)別率。第四，構(gòu)建了Libeum仿真環(huán)境。首先，通過(guò)Distorm3對(duì)惡意PDF文檔中提取的shellc

5、ode進(jìn)制代碼進(jìn)行反匯編。其次，使用Libeum對(duì)反匯編代碼進(jìn)行X86指令解析、注冊(cè)表仿真和基本的FPU仿真。同時(shí)，實(shí)現(xiàn)對(duì)shellcode的檢測(cè)，包括使用GetPC啟發(fā)式檢測(cè)、靜態(tài)分析、二進(jìn)制方式的動(dòng)態(tài)分析、Win32APIHOOK等。通過(guò)仿真模擬方式進(jìn)行行為自動(dòng)化分析，判定該shellcode代碼行為的惡意性。第五，通過(guò)對(duì)多個(gè)惡意PDF文檔樣本測(cè)試實(shí)驗(yàn)證明，本文提出的惡意PDF文檔分析檢測(cè)系統(tǒng)效果明顯，尤其是對(duì)包含壓縮混淆型Java