很简单。

Didier Stevens 提供了两个基于 Python 的开源脚本来执行 PDF 恶意软件分析。我还将重点介绍其他一些内容。

您首先要运行的主要是PDFiD（可与 Didier 的其他PDF 工具一起使用）和Pyew。

这是一篇关于如何运行pdfid.py并查看预期结果的文章；这是另一个pyew。

最后，在识别出可能的 JS、Javascript、AA、OpenAction 和 AcroForms 之后——您需要转储这些对象，过滤 Javascript，并生成原始输出。这可以通过pdf-parser.py 实现。

此外，Brandon Dixon维护了一些关于他对 PDF 恶意软件的研究的非常优秀的博客文章，包括一篇关于基于恶意过滤器对 PDF 进行评分的文章，就像你描述的那样。

我个人运行所有这些工具！

刚刚来自 Lenny Zeltser 最近的这篇博客文章，这几乎是正确的

6 款用于分析恶意 PDF 文件的免费工具

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

他提到的工具是：

• Didier Stevens 的PDF 工具套件
• PDF流转储器
• Jsunpack-n
• Peepdf
• 折纸
• 恶意对象类

博客文章中提供了每个文件的详细信息以及指向其他 pdf 分析文档的链接。

在过去的几个月里，我一直在研究 PDF 分析以及如何更好地改进它。在进行研究时，我发现自己正在编写工具和脚本来帮助我完成工作，并决定是时候将一些更有用的东西放在一起了。PDF X-RAY 是一种静态分析工具，可让您通过 Web 界面或 API 分析 PDF 文件。该工具使用多个开源工具和自定义代码来获取 PDF 并将其转换为可共享的格式。此工具的目标是集中 PDF 分析并开始共享所见文件的评论。

PDF X-RAY 不同于所有其他工具，因为它不关注单个文件。相反，它会将您上传的文件与我们存储库中的数千个恶意 PDF 文件进行比较。这些检查会在您上传的 PDF 中查找类似的数据结构以及已被分析师审查过的数据结构。使用此功能，我们可以开始看到恶意文件之间的共享编码样本或由于恶意作者编码风格而导致的趋势。该工具仍处于测试阶段，但我想将其发布给公众，看看用户的想法。在我看来，API 是最有用的，因为您可以开始将丰富的 PDF 分析集成到其他工具和服务中，而成本很低或没有成本。

当前功能包括：

• 总结报告
• 交互式报告（包括我拥有的所有信息）
• 通过特征相关
• 帐户访问和功能
• 完整 API（提交、报告、完整对象等）
• 搜索（并非全部实现，但所有散列方面都有效）
• JS 代码的沙箱转储
• 为登录用户标记流（恶意或非恶意）（匿名用户可以看到有多少人将某事标记为恶意）
• 报告（最后 50 次在其他中运行（有些尚未发布））
• 社交网络钩子（导致一些缓慢，所以我可以替换它）
• 基本帮助文档
• 图像预览生成

来自 PDFXRAY.com 的样本报告

实际上，我正在将我的工具（请参阅基于恶意过滤器对 PDF 进行评分 - 9b+）移动到托管环境，您可以在该环境中通过 API 或 Web 门户上传样本。在当前状态下，它将扫描 PDF，提取尽可能多的数据并将其与数百个其他恶意文件进行比较。请给我发一封电子邮件，当它可以使用时，我一定会亲自通知您。

同时，您可以使用我创建的过滤器，它现在可以检测到超过 50% 的恶意软件。它需要稍微调整一下，但我愿意亲自看看你的样品，并给你我最好的猜测。就像我说的，给我发电子邮件，我们可以交换信息。