Embed Size (px)
Citation preview
Сравнение методов детектирования потенциальных опасностей в документах PDF
Михаил Смирнов
Какие методы?СигнатурныйСтатическийКомбинированныйДинамический
Анализ на VirusTotal Целого документа Выделенной характерной вредоносной части
(объекта PDF) Характерной части с JavaScript-кодов:
◦ С удаленными характерными для уязвимости функциями
◦ С уменьшенным количеством итераций в циклах переполнения
Какие объекты PDF? JavaScript-кодFlashШрифтИзображение (TIFF, JBIG2)
На что обращать внимание?
Детализированность выводаУстойчивость анализа к изменению
входного воздействия
Результаты VirusTotal
Целый
докум
ент
Отдел
ьная
час
ть
"JS б
ез ф
ункц
ий"
"JS б
ез ц
икло
в"
Отдел
ьный
Flas
h
Отдел
ьный
TTF
Отдел
ьный
TIFF
0%
10%
20%
30%
40%
50%
60%
70%
Свободные утилитыJsunpackPeepdf
ДинамическийДинамическая инструментация
◦ Pintool◦ DynamoRio
