首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >对恶意PDF文件的取证

对恶意PDF文件的取证

作者头像
逍遥子大表哥
发布2025-07-28 20:59:15
发布2025-07-28 20:59:15
6030
举报
文章被收录于专栏:kali blogkali blog

在前期的文章中,我们讲到了利用SET社工方式对目标的渗透。通过发送PDF WORD等文档从而获取目前权限。这种危害极大、且最容易得手。而作为普通用户,我们如何防范此类攻击呢?通过本文,让我们一起来学习吧!

如下图,攻击者通常会在邮件中,发送带有恶意代码的附件。

带有恶意代码的PDF文件
带有恶意代码的PDF文件

带有恶意代码的PDF文件

作为普通用户,我们怎样识别附件是否为恶意附件呢?这里为大家分享一款恶意PDF检测工具pdfid,使用也很简单。

代码语言:javascript
复制
pdfid xxx.pdf

如果一个PDF文件没有xref或者trailer关键字段,那么可以确定它不是恶意的PDF文件。同时,JSJavaScript指明PDF文件中含嵌有JavaScript代码。通常恶意的PDF文件都嵌套有JavaScript代码。这也是判断是否为恶意文件的重要依据。

AAOpenActionAcroForm指明当查看PDF文件会自动执行JavaScript代码的动作。

总结

如果一个PDF文件包含有AAOpenAction自动执行动作的关键字段,而且含有JavaScript代码,那么这个PDF文件就极有可能是恶意的PDF文件。

除了上面的判断方法之外,我们可以利用PDFParser这款工具来查看pdf中的恶意代码。

代码语言:javascript
复制
pdf-parser template.pdf
恶意代码的调用
恶意代码的调用

恶意代码的调用

因此,作为普通用户。要重视邮件钓鱼带来的危害。对于邮件中的附件,我们一定要确定邮件的来源,切莫打开来历不明的邮件。

BREAK AWAY

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-06-24,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 kali笔记 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档