PDF解析器和OPcodeExtraction

Question

我在执行一个关于恶意软件检测的大学项目。具体而言，我需要：

  - extract javascript from a PDF,                                          
  - put it in the right order,                                               
  - extract opcode sequences of a possible embedded shellcode using for 
    example libemu.   

特别是，解析过程必须处理混淆/加密的javascript，甚至处理不位于文档所指的正常位置的javascript。

任何关于我如何执行这些任务的建议都将不胜感激。有什么东西已经实现了吗？非常感谢。

Answer 1

试试Didier的PDF工具，它应该允许您通过CLI而不是GUI：https://blog.didierstevens.com/programs/pdf-tools/来完成这个任务。此外，迪迪埃在混淆方法上做了很多工作，所以他们应该帮助你处理大多数畸形的情况。

Answer 2

试着像声明的这里那样使用这些工具。

建议使用PDF流翻车机，因为这些工具仍在积极支持。github源提到了命令行支持。

PdfStreamDumper currently only supports one command line option which is /extract
    usage: pdfstreamdumper "c:\blah blah\bad.pdf" /extract "c:\some folder"
        When run in this mode, it will load the pdf file (interface visible) extract all of
        of the streams it could process without error to the folder specified and then exit.
    The folder need not exist, it will build the path to it if it can. The files will be 
    named stream_x.ext where ext is the relevant file type extension if it can be determined.