Всем доброго времени суток! И так начнем! Чаще всего заражают ********* всеми любимого нами офисного пакета MS Office,такие типы документов:pdf,doc, rtf, xls, ppt, pptx. Составим небольшой пошаговый план, в котором будет указано,как проанализировать наш док на безвредность . Проверить документ на опасные теги и скрипты Найти встроенный код, такой как shellcode, VBA-макрос, Javascript, Powershell и другие Извлечь подозрительный код или объект из файла Если возможно, деобфуцировать извлечённый код (хотя с очень большой долей вероятности обфуцированный код является вредоностым) Для обнаружения файлов MS Office будем использовать пакет софта: oletools. oletools - многофункциональный набор инструментов на Python для анализа Microsoft OLE2 файлов, таких как ********* Microsoft Office (MS Word, Excel, Powerpoint, etc.) Установка на Linux: sudo -H pip install -U oletools Установка на Windows: pip install -U oletools Софт,который находится в нашем наборе: mraptor olebrowse oledir oleid olemap olemeta oleobj oletimes olevba pyxswf rtfobj Инструменты для анализа PDF файлов PDF Stream Dumper - утилита с графическим интерфейсом под Windows для анализа PDF. pdf-parser - позволяет извлекать отдельные элементы PDF-файла, такие как заголовки, ссылки и прочее. pdfid - перечисляет все объекты PDF-файла. peepdf - довольно мощный инструмент для анализа. Включает в себя поиск shellcode, Javascript и много чего ещё. Включён по умолчанию в Kali Linux. pdfxray - имеет большую часть нужных утилит в виде отдельных python скриптов, но требует много зависимостей. На что стоит обратить внимание при анализе PDF В первую очередь на названия объектов, присутствующих в PDF: /JavaScript и /JS соответственно запускают js /GoTo изменяет видимую страницу файла, может автоматически открывать перебрасывать на другие PDF файлы /Launch запускает программу или открывает документ /SubmitForm и /GoToR может отправлять данные по URL /RichMedia может использоваться для встраивания flash /ObjStm может скрывать объекты Для теста буду использовать линукс, так как (я домашненький). Чтобы проверить на VBA script: пишем: olevba (название док.разшерение) Возьмем PDF файл. Используем pdfid для просмотра всех объектов в файле. Спасибо за прочтение статьи.