Schadcode finden: Wie Sie PDF- und Office-Dateien sicher untersuchen

Office- und PDF-Dokumente können gefährlich sein und ausführbaren Code enthalten. Mit Analyse-Tools entdecken Sie vor dem Öffnen, ob solcher Code drinsteckt.

Lesezeit: 18 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge
, Andreas Martini

(Bild: Andreas Martini)

Von
  • Sylvester Tremmel
Inhaltsverzeichnis
Security: PDF und Office

Das Internet ist voll von Malware und verdächtigen Dateien. In der Regel bekommt man Kostproben sogar frei Haus in den Maileingang geschickt. In der vorhergehenden Ausgabe haben wir Ihnen gezeigt, wie Sie PDF- und Office-Anhänge – die häufigsten Problemfälle – untersuchen und auf Alarmsignale abklopfen. Die dort vorgestellten Werkzeugkästen können aber noch deutlich mehr. Wenn Sie bei einem bestimmen Word-Anhang die Neugierde packt oder Sie einfach schon immer mal in den Innereien von PDF-Dateien wühlen wollten, dann sind Sie hier richtig.

Wir demonstrieren die Analysen an Beispieldokumenten, von denen keine Gefahr ausgeht. Wenn Sie mögen, können Sie die Dokumente herunterladen, um den Artikel Schritt für Schritt nachzuvollziehen. Wirklich verdächtige Dateien sollten sie ausschließlich in isolierten Umgebungen untersuchen, zum Beispiel in einer VM ohne Netzwerkzugriff.

Das PDF-Analysewerkzeug unserer Wahl heißt pdf-parser.py. Das Python-Skript stammt vom Sicherheitsforscher Didier Stevens, der eine ganze eine Reihe von Analyse-Skripten für verschiedene Formate geschrieben hat. Sie können die Skripte als Zip-Archive von seiner Website herunterladen. Wie Sie Python einrichten, haben wir ausführlich erklärt, danach reicht ein Aufruf wie python pdf-parser.py, um die Werkzeuge zu benutzen.