一、pdf簡(jiǎn)介：

PDF(Portable Document Format)文件格式是Adobe公司開(kāi)發(fā)的電子文件格式。這種文件格式可以運(yùn)行在任何操作系統(tǒng)平臺(tái)上，這一特點(diǎn)使它成為在Internet上進(jìn)行電子文檔發(fā)行和數(shù)字化信息傳播的理想文檔格式。越來(lái)越多的電子圖書(shū)、產(chǎn)品說(shuō)明、公司文告、網(wǎng)絡(luò)資料、電子郵件開(kāi)始使用PDF格式文件。

二、pdf漏洞簡(jiǎn)介：

PDF是由“Adobe Acrobat”制作的，它存在一個(gè)攻擊漏洞——可以在PDF文檔中，利用“Adobe Acrobat”提供的Javascript腳本功能，執(zhí)行任意攻擊命令。

pdf網(wǎng)馬和swf網(wǎng)馬一樣，解密工具都是可以使用htmldecoder工具，解密方法和網(wǎng)馬解密高級(jí)篇(SWF解密)一樣。今天講解的這個(gè)pdf網(wǎng)馬，可以直接使用freshow這個(gè)工具來(lái)解密，因?yàn)檫@個(gè)pdf包含的shellcode直接可以通過(guò)記事本看到。小技巧：對(duì)于pdf或swf格式的文件我們可以通過(guò)記事本的方式打開(kāi)，直接查看文件的源代碼，你會(huì)有驚奇的發(fā)現(xiàn)，尤其是網(wǎng)馬解密，里面說(shuō)不定就有你要的網(wǎng)馬地址呢，呵呵。本次講解同樣不提供pdf文件的下載，以免不明網(wǎng)友，下載后運(yùn)行而導(dǎo)致系統(tǒng)中招。

上圖為此次解密pdf網(wǎng)馬的源文件代碼的部分截圖

大家是否看著上述代碼有些眼熟吧，還記得前期我們講解shellcode加密的特征嘛，Shellcode網(wǎng)馬特征：以相同分隔符(一般為%u)分隔的4位一組的十六進(jìn)制字符串。這段代碼看著可能有些亂，需要我們先來(lái)簡(jiǎn)單的處理一下。我們先來(lái)觀察一下上述代碼的確和shellcode特征類(lèi)似，不過(guò)其中有很多的空格，ok，那么我們將這些空格取消后再看一下代碼。

在這里我們又要用到freshow的過(guò)濾功能NULS，NULS的功能就是將代碼中的空格過(guò)濾掉，使得代碼更易閱讀。 將上述代碼粘貼至freshow的上操作區(qū)域，在過(guò)濾選項(xiàng)中選擇NULS后點(diǎn)擊filter按鈕，具體操作詳見(jiàn)截圖。

取消空格在下操作區(qū)域顯示代碼的截圖。 接下來(lái)點(diǎn)擊up按鈕，將代碼上翻至上操作區(qū)域，進(jìn)行shellcode解密(兩次esc)

上圖為兩次esc后截圖，我們看到并沒(méi)有網(wǎng)馬的地址，欲知后事如何，接著往下看

為什么兩次esc后沒(méi)有網(wǎng)馬地址呢，我們?cè)賮?lái)仔細(xì)分析一下這個(gè)shellcode，里面有很多的21，其實(shí)這是一個(gè)帶密鑰(XOR21)shellcode，而密鑰就是21。ok，我們?cè)賮?lái)解一下這個(gè)shellcode，先進(jìn)行一次esc后，將代碼上翻至上操作區(qū)域，在進(jìn)行二次esc之前，輸入密鑰21后再esc，詳見(jiàn)截圖：

最終解密結(jié)果詳見(jiàn)下圖：