惡意PDF文檔的分析.pdf

1、隨著互聯(lián)網(wǎng)的高速發(fā)展和辦公自動化的日益普及，PDF(portabledocumentformat)文件已經(jīng)成為全球電子文檔分發(fā)的開放式標(biāo)準(zhǔn)，是繼PostScript文件格式之后的一種新的輸出文件格式。PDF憑借著它的種種優(yōu)勢，克服了電子文件共享過程中經(jīng)常遇到的識別問題，使用戶可以在網(wǎng)上自由地瀏覽文件和方便地交換文件，它成為進行現(xiàn)代電子文檔分發(fā)的理想格式。但是PDF文檔給人們的工作和生活帶來許多便利的同時，也帶來了許多問題。其中，尤其以含

2、有惡意代碼的PDF文檔所造成的危害最大最廣，給企業(yè)和用戶造成了巨大的不可挽回的損失，給互聯(lián)網(wǎng)應(yīng)用帶來了嚴(yán)峻的威脅和挑戰(zhàn)。由于PDF文檔的高實用性和普遍適應(yīng)性，因而更加加速了惡意代碼的快速傳播，使其成為惡意代碼常用有效載體。由于惡意代碼對計算機的嚴(yán)重破壞性，檢測和防止含有惡意代碼的PDF文檔已日益成為計算機安全領(lǐng)域的重要目標(biāo)。
　　 在本文中，首先詳細(xì)介紹了PDF文檔的物理結(jié)構(gòu)和邏輯結(jié)構(gòu)，在此基礎(chǔ)上構(gòu)建了PDF文檔結(jié)構(gòu)的自動解析系

3、統(tǒng)，此系統(tǒng)可以快速準(zhǔn)確的查看和提取PDF文檔結(jié)構(gòu)中各部分的二進制數(shù)據(jù)，尤其是對各類壓縮流對象可以快速準(zhǔn)確解壓和提取，這為進一步的檢測和分析提供數(shù)據(jù)支持。其次，對不同惡意PDF文檔原理進行了深入的研究和分析，研究了各類主流惡意PDF文檔中代碼的傳播方式和傳播模型，接著對現(xiàn)有惡意PDF文檔的攻擊手段，反查殺方式進行分析和總結(jié)，以此為基礎(chǔ)研究惡意PDF文檔檢測的方法和可行性。并且，構(gòu)建了Javascript代碼的解碼引擎，實現(xiàn)了對PDF文檔中

4、提取的Javascript代碼和壓縮混淆的Javascript代碼的解碼分析。第三，本文通過動態(tài)分析和靜態(tài)分析相結(jié)合的方式實現(xiàn)了對PDF文檔中惡意代碼的分析和惡意行為特征的提取，在YARA惡意特征規(guī)則庫的基礎(chǔ)上構(gòu)建了新的惡意特征規(guī)則識別庫，并建立了一套快速增加惡意特征識別庫中特征碼的方法，從而有效的提高了對PDF文檔中包含的惡意代碼的識別率。第四，構(gòu)建了Libeum仿真環(huán)境。首先，通過Distorm3對惡意PDF文檔中提取的shellc

5、ode進制代碼進行反匯編。其次，使用Libeum對反匯編代碼進行X86指令解析、注冊表仿真和基本的FPU仿真。同時，實現(xiàn)對shellcode的檢測，包括使用GetPC啟發(fā)式檢測、靜態(tài)分析、二進制方式的動態(tài)分析、Win32APIHOOK等。通過仿真模擬方式進行行為自動化分析，判定該shellcode代碼行為的惡意性。第五，通過對多個惡意PDF文檔樣本測試實驗證明，本文提出的惡意PDF文檔分析檢測系統(tǒng)效果明顯，尤其是對包含壓縮混淆型Java