Schadcode finden: Wie Sie PDF- und Office-Dateien sicher untersuchen
Office- und PDF-Dokumente können gefährlich sein und ausführbaren Code enthalten. Mit Analyse-Tools entdecken Sie vor dem Öffnen, ob solcher Code drinsteckt.
Das Internet ist voll von Malware und verdächtigen Dateien. In der Regel bekommt man Kostproben sogar frei Haus in den Maileingang geschickt. In der vorhergehenden Ausgabe haben wir Ihnen gezeigt, wie Sie PDF- und Office-Anhänge – die häufigsten Problemfälle – untersuchen und auf Alarmsignale abklopfen. Die dort vorgestellten Werkzeugkästen können aber noch deutlich mehr. Wenn Sie bei einem bestimmen Word-Anhang die Neugierde packt oder Sie einfach schon immer mal in den Innereien von PDF-Dateien wühlen wollten, dann sind Sie hier richtig.
Wir demonstrieren die Analysen an Beispieldokumenten, von denen keine Gefahr ausgeht. Wenn Sie mögen, können Sie die Dokumente herunterladen, um den Artikel Schritt für Schritt nachzuvollziehen. Wirklich verdächtige Dateien sollten sie ausschließlich in isolierten Umgebungen untersuchen, zum Beispiel in einer VM ohne Netzwerkzugriff.
Das PDF-Analysewerkzeug unserer Wahl heißt pdf-parser.py. Das Python-Skript stammt vom Sicherheitsforscher Didier Stevens, der eine ganze eine Reihe von Analyse-Skripten für verschiedene Formate geschrieben hat. Sie können die Skripte als Zip-Archive von seiner Website herunterladen. Wie Sie Python einrichten, haben wir ausführlich erklärt, danach reicht ein Aufruf wie python pdf-parser.py, um die Werkzeuge zu benutzen.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!