Strumento necessario per rilevare il malware in diversi file PDF in ambiente Windows [chiuso]

Naviga le tue risposte
-1

Sto cercando un prodotto Windows in grado di rilevare il malware in diversi file PDF in ambiente Windows. Non voglio usare Python e non voglio usare Stream Dumpler. Sto cercando qualcosa di semplice ed efficace. Mi chiedo perché la maggior parte dei programmi di protezione antivirus a pagamento sono inutili a questo riguardo?

Modifica: Per calpestare il mio obiettivo, voglio identificare i file PDF infetti in un modo semplice dato che ho diversi file e non mi interessa come o perché sono stati infettati. Thx.

    
posta NoChance 02.12.2015 - 19:49
fonte

2 risposte

3

Hai diverse opzioni.

1. servizi online
Puoi utilizzare il link , link (puoi anche creare un esempio privato) o uno di questi strumenti qui:

link

Le persone dietro a Malwr hanno creato la sandbox Cuckoo, che è anche usata su Malwr. È possibile creare anche la propria macchina virtuale con sandbox Cuckoo e aprire il file PDF nel proprio lettore di file PDF. link

Per caricare più file contemporaneamente su VirusTotal c'è uno strumento: link

2. API VirusTotal VirusTotal ha un'API pubblica che è documentata qui: link
link
link

Ho creato un piccolo strumento standalone che richiede solo l'installazione di Java e utilizza l'API VirusTotal (è necessaria una chiave API) per caricare tutti i file nella stessa directory.
link
link 

VirusTotalScan 1.0.0
Uploads all files in a given directory to VirusTotal using the VirusTotal API.

Se lo usi, controlla il file delle proprietà e modifica il commento in comment=

Bene, la maggior parte degli strumenti sono scritti in Python, Ruby o in qualche altro linguaggio ampiamente usato. Puoi installare facilmente Python sul tuo PC.

3. ClamAV come alternativa
ClamAV ha alcune regole che possono rilevarlo. C'è ClamWin link

4. inviare manualmente i campioni ai fornitori di antivirus Se si desidera inviare manualmente i campioni ai fornitori di antivirus, ci sono due mailing list qui: link

Devi solo creare un file zip protetto da password (meglio uno per file, ma anche un file zip per tutti i file PDF dovrebbe essere ok), fare clic sul collegamento e inviare l'allegato con il client di posta elettronica e attendere le risposte.

    
risposta data 02.12.2015 - 21:07
fonte
1

Leggendo la tua domanda, non sono sicuro che tu voglia solo rilevare e isolare, o in realtà vuoi scavare e vedere se riesci a trovare il malware. In ogni caso, hai un'opzione:

Opt1: installa una VM per isolare il tuo sistema principale e inserire un antivirus ed eseguire i pdf attraverso l'antivirus nella tua VM. Prendi nota dei consigli sopra riportati e mettili in contatto con virustotal per vedere se qualsiasi altro sistema AV ha una firma per loro.

Opt2: installa una VM per proteggere il tuo sistema principale e poi ottenere alcuni strumenti di analisi del malware. Alcuni di questi sono PEID, Dependency Walker e IDA Pro, tuttavia credo che possano funzionare principalmente con file .exe. Tuttavia, quello che dovresti sicuramente usare è "Process Explorer" per Windows. Ciò fornirà una visione molto dettagliata di tutti i processi in esecuzione, incluso il loro codice colore a seconda delle fasi (vale a dire l'avvio, la corsa o la chiusura). In questo modo mostrerà tutte le nuove connessioni esterne che il tuo sistema sta facendo mentre il tuo file pdf si sta aprendo (questo è più un metodo di analisi dinamico piuttosto che statico). Se il tuo sistema sta effettuando connessioni esterne mentre apri un pdf, questo è un segno di malware nel pdf che tenta di connettersi con C & C o altro server.

    
risposta data 02.12.2015 - 21:33
fonte

Leggi altre domande sui tag

Qualcuno ha ricevuto un messaggio dal mio iphone. Non ho nemmeno il numero al quale il testo è stato inviato [chiuso] Creazione di password sicure [duplicate]