Giriş
pdf-parser, PDF belgelerinin içeriğini ve yapısını analiz etmek için kullanılan bir Python tabanlı araçtır. Özellikle PDF dosyalarındaki kötü niyetli içeriklerin (malware) analiz edilmesinde kullanılır. PDF dosyaları, genellikle zararlı yazılımlar veya komut dosyaları (scripts) içerebileceği için, adli bilişim analizlerinde pdf-parser ile bu dosyaların detaylı analizini yapabilirsiniz.
pdf-parser, PDF içindeki objeleri, gömülü JavaScript kodlarını, potansiyel exploit’leri ve meta verileri çıkartıp analiz etmenize olanak tanır.
pdf-parser’ın Başlıca Özellikleri:
- PDF Nesnelerini Ayıklama ve Analiz Etme: PDF içindeki tüm nesneleri (objeler) listeleyebilir ve belirli objeleri seçip inceleyebilirsiniz.
- JavaScript Tespiti: PDF içerisinde yer alan JavaScript kodlarını ayıklayarak analiz eder.
- Akış (Stream) ve Şifreleme Kontrolü: PDF dosyasında şifrelenmiş veya sıkıştırılmış akışları analiz eder.
- Meta Veri Analizi: PDF dosyasındaki meta verileri gösterir.
- Zararlı İçerik Tespiti: Potansiyel zararlı içerikleri (örneğin, gömülü dosyalar, şüpheli komutlar) tespit eder.
Kurulum
pdf-parser genellikle Kali Linux ile önceden yüklenmiş olarak gelir. Yüklü değilse Python ile kolayca kurulabilir.
1. pdf-parser Yükleme:
Kali Linux üzerinde yüklü değilse, aşağıdaki komutu kullanarak yükleyebilirsiniz:
sudo apt update
sudo apt install pdf-parser
Alternatif olarak, Python paket yöneticisi kullanarak yüklemek isterseniz:
pip install pdf-parser
pdf-parser Kullanımı
pdf-parser, PDF dosyalarındaki belirli objeleri, JavaScript içeriğini, akışları (streams) ve meta verileri analiz etmek için farklı seçenekler sunar.
1. Temel Kullanım
Bir PDF dosyasındaki tüm nesneleri (objeleri) listelemek için pdf-parser’ın temel kullanımını şu şekilde yapabilirsiniz:
pdf-parser.py <pdf_dosyası>
Örnek:
pdf-parser.py example.pdf
Bu komut, example.pdf
dosyasındaki tüm objeleri listeler. Bu objelerin her biri PDF dosyasının farklı bölümlerini temsil eder ve detaylı analiz için kullanılabilir.
2. Belirli Bir Nesneyi (Objeyi) Ayıklama
Bir PDF dosyasındaki belirli bir nesneyi ayıklayıp analiz etmek için -o
seçeneği kullanılabilir:
pdf-parser.py -o <nesne_numarası> <pdf_dosyası>
Örnek:
pdf-parser.py -o 5 example.pdf
Bu komut, example.pdf
dosyasındaki 5 numaralı objeyi çıkarır ve görüntüler. Bu şekilde, belirli nesneleri analiz ederek zararlı içerik olup olmadığını kontrol edebilirsiniz.
3. JavaScript Tespiti
PDF dosyaları genellikle gömülü JavaScript içeriklerine sahip olabilir. Bu, zararlı kodların çalıştırılması için kullanılabilir. PDF dosyasındaki JavaScript kodlarını ayıklamak ve analiz etmek için şu komutu kullanabilirsiniz:
pdf-parser.py --search javascript <pdf_dosyası>
Örnek:
pdf-parser.py --search javascript example.pdf
Bu komut, PDF dosyasında yer alan tüm JavaScript içeriklerini tarar ve bunları ekrana listeler. Zararlı kodları bulmak için bu içerikler incelenebilir.
4. Meta Verileri Görüntüleme
PDF dosyasındaki meta verileri (yazar, başlık, oluşturulma tarihi vb.) görüntülemek için şu komut kullanılabilir:
pdf-parser.py --search metadata <pdf_dosyası>
Örnek:
pdf-parser.py --search metadata example.pdf
Bu komut, example.pdf
dosyasının meta verilerini çıkararak ekranda görüntüler. Bu bilgiler, dosyanın oluşturucusunu veya değişiklik geçmişini öğrenmek için yararlıdır.
5. Akışları (Streams) Ayıklama
PDF dosyalarında sıkıştırılmış veya şifrelenmiş akışlar (streams) bulunabilir. Bu akışlar zararlı içerik barındırabilir. pdf-parser, PDF dosyasındaki tüm akışları ayıklayıp analiz etmenize olanak tanır:
pdf-parser.py --filter --raw <pdf_dosyası>
Bu komut, PDF dosyasındaki sıkıştırılmış akışları çıkararak analiz edebilmenizi sağlar.
6. Zararlı İçerik Tespiti
pdf-parser’ı kullanarak zararlı içeriklerin olup olmadığını tespit edebilirsiniz. Özellikle JavaScript veya gömülü dosyalar gibi potansiyel zararlı unsurları kontrol etmek için aşağıdaki komutları kullanabilirsiniz:
pdf-parser.py --search /OpenAction /AA /JS /JavaScript <pdf_dosyası>
Bu komut, zararlı olabilecek belirli etiketleri ve objeleri tarayarak PDF dosyasını inceler.
Kullanım Senaryoları
1. Zararlı PDF Analizi
Eğer bir PDF dosyasının zararlı içerik barındırabileceğinden şüpheleniyorsanız, pdf-parser ile bu dosyanın tüm nesnelerini ve JavaScript içeriklerini analiz edebilirsiniz. Şu adımları izleyebilirsiniz:
- Tüm Nesneleri Listeleme:
pdf-parser.py example.pdf
- JavaScript İçeriklerini Ayıklama:
pdf-parser.py --search javascript example.pdf
- Akışların İçeriğini İnceleme:
pdf-parser.py --filter --raw example.pdf
2. Meta Veri Analizi
Bir PDF dosyasının ne zaman oluşturulduğu, hangi yazılımla oluşturulduğu gibi bilgileri öğrenmek için meta verileri analiz edebilirsiniz:
pdf-parser.py --search metadata example.pdf
Bu komut, dosyanın kim tarafından ve hangi tarihte oluşturulduğunu veya düzenlendiğini anlamanıza yardımcı olabilir.
Sonuç
pdf-parser, PDF dosyalarının yapısını analiz etmek ve zararlı içerikleri tespit etmek için oldukça etkili bir araçtır. Özellikle adli bilişim ve sızma testlerinde kullanımı yaygındır. Zararlı yazılım analizinde, PDF dosyalarının içerdiği gömülü kodları, JavaScript’leri ve diğer şüpheli içerikleri ayıklayarak incelemenize olanak tanır. Kali Linux ile kullanımı basit olan pdf-parser, özellikle PDF formatındaki dosyalarla ilgili güvenlik değerlendirmeleri için güçlü bir çözümdür.
İçerik ChatGPT yapay zeka botu üzerinden alınan bilgiler doğrultusunda oluşturulmuştur. İçerikteki bilgilerin doğruluğu teyide muhtaçtır. İçerikler ile ilgili herhangi bir sorun, öneri veya şikayetiniz olduğu takdirde iletişim sayfasından yazabilirsiniz.
Yorum Yap