{"id":337185,"date":"2022-08-17T15:00:48","date_gmt":"2022-08-17T15:00:48","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=337185"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=337185","title":{"rendered":"<span>\u0420\u0430\u0441\u0449\u0435\u043f\u043b\u044f\u0435\u043c Malware PDF. \u041f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0440\u0430\u0437\u0431\u043e\u0440 \u0444\u0438\u0448\u0438\u043d\u0433\u0430 \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 GetPDF \u043e\u0442 Cyberdefenders.com<\/span>"},"content":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/4d2\/977\/3fb\/4d29773fb2567bc96eb8e47c6bb840e6.jpg\" width=\"650\" height=\"408\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/4d2\/977\/3fb\/4d29773fb2567bc96eb8e47c6bb840e6.jpg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440! \u041c\u0435\u043d\u044f \u0437\u043e\u0432\u0443\u0442 \u0410\u043d\u0442\u043e\u043d, \u044f \u0432\u0435\u0434\u0443\u0449\u0438\u0439 \u0438\u043d\u0436\u0435\u043d\u0435\u0440 \u043f\u043e \u0418\u0411 \u0432 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 R-Vision, \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0435 \u0443\u0447\u0430\u0441\u0442\u0438\u0435 \u0432 \u0440\u0430\u0437\u0432\u0438\u0442\u0438\u0438 \u044d\u043a\u0441\u043f\u0435\u0440\u0442\u0438\u0437\u044b \u0432 \u0447\u0430\u0441\u0442\u0438 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u0432 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u043d\u0438\u0445. \u0410 \u0432 \u0441\u0432\u043e\u0431\u043e\u0434\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u044f \u0443\u0432\u043b\u0435\u043a\u0430\u044e\u0441\u044c \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f\u043c\u0438 \u0432 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0438 Digital Forensics &amp; Incident Response (DFIR), Malware Analysis. <\/p>\n<p>\u0412 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0435 \u0432\u0440\u0435\u043c\u044f \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0435 \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u043e \u043f\u0435\u0441\u0442\u0440\u0438\u0442 \u043d\u043e\u0432\u043e\u0441\u0442\u044f\u043c\u0438 \u043e \u0440\u0435\u0437\u043e\u043d\u0430\u043d\u0441\u043d\u044b\u0445 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u0445 \u0432 \u0420\u043e\u0441\u0441\u0438\u0438 \u0438 \u043c\u0438\u0440\u0435, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u043c\u0438 \u0430\u0442\u0430\u043a\u0430\u043c\u0438 \u043d\u0430 \u043a\u0440\u0443\u043f\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0438 \u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0441\u0435\u043a\u0442\u043e\u0440.<\/p>\n<p>\u0417\u0430\u043c\u0435\u0447\u0443, \u0447\u0442\u043e \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u0438\u043a \u0432\u0437\u043b\u043e\u043c\u0430 \u043a\u0440\u0443\u043f\u043d\u044b\u0445 \u043c\u0438\u0440\u043e\u0432\u044b\u0445 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0446\u0438\u0439 \u0431\u044b\u043b \u0438 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0444\u0438\u0448\u0438\u043d\u0433 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/versions\/v8\/techniques\/T1566\/001\/\">T1566.001<\/a>. \u041f\u043e\u0436\u0430\u043b\u0443\u0439, \u044f\u0440\u043a\u0438\u0439 \u0442\u043e\u043c\u0443 \u043f\u0440\u0438\u043c\u0435\u0440 \u2013 \u0432\u0437\u043b\u043e\u043c Garmin \u0432 \u0438\u044e\u043b\u0435 2020 \u0433\u043e\u0434\u0430, \u043a\u043e\u0433\u0434\u0430 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c \u0443\u043c\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043f\u043e\u0434\u0432\u0435\u0440\u0433\u0441\u044f \u0430\u0442\u0430\u043a\u0435 \u0445\u0430\u043a\u0435\u0440\u043e\u0432-\u0432\u044b\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u0435\u0439. \u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u0438\u043a\u0438 \u0430\u0442\u0430\u043a\u043e\u0432\u0430\u043b\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b Garmin \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0430\u043b\u0432\u0430\u0440\u0438 WastedLocker. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435, \u0441\u0435\u0440\u0432\u0438\u0441\u044b \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043d\u0430 \u0442\u0440\u0438 \u0434\u043d\u044f \u0432\u044b\u0448\u043b\u0438 \u0438\u0437 \u0441\u0442\u0440\u043e\u044f, \u0442\u0430\u043a \u043a\u0430\u043a \u0430\u0432\u0442\u043e\u0440\u044b \u043c\u0430\u043b\u0432\u0430\u0440\u044f \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u0438 \u0432\u044b\u043a\u0443\u043f \u0432 \u0440\u0430\u0437\u043c\u0435\u0440\u0435 $10 \u043c\u043b\u043d \u0437\u0430 \u043a\u043b\u044e\u0447\u0438 \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438.<\/p>\n<p>\u041a\u0430\u043a \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u043b\u043e\u0433\u0438\u043a\u0430 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f \u0432 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u0430: \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0435 \u043f\u0440\u043e\u0432\u043e\u0434\u044f\u0442 \u0442\u0430\u0440\u0433\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u0443\u044e \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e \u2013 targetor sprear [<a href=\"https:\/\/attack.mitre.org\/versions\/v8\/techniques\/T1566\/001\/\">T1566.001<\/a>], \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0432 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u0443\u044e \u0441\u0440\u0435\u0434\u0443 \u0437\u043b\u043e\u0432\u0440\u0435\u0434\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0438 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u0445 \u043f\u0438\u0441\u0435\u043c \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c\u0438 \u0438 \u0441\u0441\u044b\u043b\u043a\u0430\u043c\u0438. \u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0444\u0430\u0439\u043b (pdf, xlsx, docx \u0438 \u0434\u0440.), \u0442\u0435\u043c \u0441\u0430\u043c\u044b\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044f \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u0442\u0443\u0434\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u044e\u0449\u0438\u0435 \u0434\u043b\u044f \u0430\u0442\u0430\u043a\u0438 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b (\u0432\u0438\u0440\u0443\u0441\u044b, \u0442\u0440\u043e\u044f\u043d\u044b, \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u044c\u0449\u0438\u043a\u0438, \u0431\u044d\u043a\u0434\u043e\u0440\u044b \u0438 \u0442\u0434.). <\/p>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u043d\u0435 \u0431\u0443\u0434\u0443 \u0443\u0433\u043b\u0443\u0431\u043b\u044f\u0442\u044c\u0441\u044f \u0432 \u0442\u0430\u043a\u0442\u0438\u043a\u0438 \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0445 \u0430\u0442\u0430\u043a, \u0430 \u0445\u043e\u0447\u0443 \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0441 \u0432\u0430\u043c\u0438 \u043b\u0438\u0447\u043d\u044b\u043c \u043e\u043f\u044b\u0442\u043e\u043c \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0441 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 * pdf \u0438 \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e \u043f\u0440\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0445\u043e\u0434 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430 \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f <a href=\"https:\/\/cyberdefenders.org\/blueteam-ctf-challenges\/47\">GetPDF<\/a> \u0441 \u0440\u0435\u0441\u0443\u0440\u0441\u0430 <a href=\"https:\/\/cyberdefenders.org\/\">Cyberdefenders<\/a>. <\/p>\n<p>\u0414\u043b\u044f \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u044f \u0437\u0430\u0434\u0430\u043d\u0438\u044f GetPDF, \u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 11 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u043a\u0430\u0441\u0430\u044e\u0449\u0438\u0445\u0441\u044f \u0444\u0430\u0439\u043b\u0430 Malware PDF. <\/p>\n<details class=\"spoiler\">\n<summary>\u0421\u043f\u0438\u0441\u043e\u043a \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u043b\u044f \u0437\u0430\u0434\u0430\u043d\u0438\u044f <\/summary>\n<div class=\"spoiler__content\">\n<p><strong>1.\u00a0\u00a0\u00a0 How many URL path(s) are involved in this incident?<\/strong><\/p>\n<p><strong>2.\u00a0\u00a0\u00a0 What is the URL which contains the JS code?<\/strong><\/p>\n<p><strong>3.\u00a0\u00a0\u00a0 What is the URL hidden in the JS code?<\/strong><\/p>\n<p><strong>4.\u00a0\u00a0\u00a0 What is the MD5 hash of the PDF file contained in the packet?<\/strong><\/p>\n<p><strong>5.\u00a0\u00a0\u00a0 How many object(s) are contained inside the PDF file?<\/strong><\/p>\n<p><strong>6.\u00a0\u00a0\u00a0 How many filtering schemes are used for the object streams?<\/strong><\/p>\n<p><strong>7.\u00a0\u00a0\u00a0 What is the number of the &#8216;object stream&#8217; that might contain malicious JS code?<\/strong><\/p>\n<p><strong>8.\u00a0\u00a0\u00a0 Analyzing the PDF file. What &#8216;object-streams&#8217; contain the JS code responsible for executing the shellcodes? The JS code is divided into two streams. Format: two numbers separated with &#8216;,&#8217;. Put the numbers in ascending order<\/strong><\/p>\n<p><strong>9.\u00a0\u00a0\u00a0 The JS code responsible for executing the exploit contains shellcodes that drop malicious executable files. What is the full path of malicious executable files after being dropped by the malware on the victim machine?<\/strong><\/p>\n<p><strong>10. The PDF file contains another exploit related to CVE-2010-0188. What is the URL of the malicious executable that the shellcode associated with this exploit drop?<\/strong><\/p>\n<p><strong>11.How many CVEs are included in the PDF file?<\/strong><\/p>\n<\/div>\n<\/details>\n<p>\u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u0442\u044c, \u043e\u0431\u0440\u0430\u0449\u0430\u044e \u0432\u0430\u0448\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435: \u0435\u0441\u043b\u0438 \u0432\u044b \u0437\u0430\u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e, \u0442\u043e \u043a\u0440\u0430\u0439\u043d\u0435 <strong>\u043d\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f<\/strong> \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0435\u0433\u043e \u043d\u0430 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u043c \u0445\u043e\u0441\u0442\u0435. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u0434\u043d\u044f\u0442\u044c \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u043d\u0430 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435. <\/p>\n<p>\u0412 \u043c\u043e\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0437\u0430\u0434\u0430\u0447\u0438 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0434\u0432\u0443\u0445 \u0445\u043e\u0441\u0442\u043e\u0432, \u0441\u043e\u0435\u0434\u0438\u043d\u0451\u043d\u043d\u044b\u0445 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439. \u041d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d\u0438 \u0438\u043c\u0435\u044e\u0442 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u044b\u0439 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b VMWare \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u0441\u0435\u0442\u044c \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442. \u041f\u0435\u0440\u0432\u044b\u0439 \u0445\u043e\u0441\u0442 \u043d\u0430 Kali, \u0432\u0442\u043e\u0440\u043e\u0439 \u043f\u043e\u0434 Windows 10.<\/p>\n<p><strong>\u0412 \u0445\u043e\u0434\u0435 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u043e\u0433\u043e \u0441\u0442\u0435\u043d\u0434\u0430 \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0441 Malware \u0444\u0430\u0439\u043b\u0430\u043c\u0438, \u043d\u0430\u043c \u043f\u043e\u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f:<\/strong><\/p>\n<p>1. \u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0441\u0435\u0442\u0438;<\/p>\n<p>2. \u041e\u0442\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 Windows Defender (\u0434\u043b\u044f \u0445\u043e\u0441\u0442\u0430 \u043f\u043e\u0434 Windows 10) \u0434\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u044b:<\/p>\n<p><strong><em>Set-MpPreference-DisableRealtimeMonitoring $true<\/em><\/strong><\/p>\n<details class=\"spoiler\">\n<summary>\u0423\u0442\u0438\u043b\u0438\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u0443\u0434\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f<\/summary>\n<div class=\"spoiler__content\">\n<p><a href=\"https:\/\/www.wireshark.org\">Wireshark<\/a> \u2014 \u043d\u0435\u0437\u0430\u043c\u0435\u043d\u0438\u043c\u0430\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u0434\u043b\u044f \u0440\u0430\u0437\u0431\u043e\u0440\u0430 .pcap \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430;<\/p>\n<p><a href=\"https:\/\/www.netresec.com\/?page=NetworkMiner\">NetworkMiner<\/a> \u2014 \u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430, c GUI;<\/p>\n<p> <a href=\"https:\/\/github.com\/DidierStevens\/DidierStevensSuite\/blob\/master\/pdf-parser.py\">Pdf-parser.py<\/a> \u2014 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u0430\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 PDF;<\/p>\n<p><a href=\"https:\/\/www.kali.org\/tools\/pdfid\/\">Pdfid<\/a> \u2014 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043f\u043e PDF;<\/p>\n<p><a href=\"http:\/\/sandsprite.com\/blogs\/index.php?pid=57&amp;uid=7\">PDFStreamDumper<\/a> \u2014 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 PDF, \u0438\u043c\u0435\u0435\u0442 GUI \u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f;<\/p>\n<p><a href=\"https:\/\/github.com\/cogent\/origami-pdf\">Origami <\/a>\u2014 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0430 \u043d\u0430 perl, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c streams, \u0441\u043a\u0440\u0438\u043f\u0442\u044b, \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438 \u0438\u0437 pdf, \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 shell \u043a\u043e\u0434\u043e\u043c, \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0442\u044c \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0438 \u043c\u043d\u043e\u0433\u043e\u0435 \u0434\u0440\u0443\u0433\u043e\u0435;<\/p>\n<p><a href=\"http:\/\/sandsprite.com\/blogs\/index.php?uid=7&amp;pid=152\">scdbg.exe<\/a> \u2014 \u0434\u043b\u044f \u044d\u043c\u0443\u043b\u044f\u0446\u0438\u0438 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e shell \u043a\u043e\u0434\u0430;<\/p>\n<p><a href=\"https:\/\/lelinhtinh.github.io\/de4js\/\">De4js<\/a> \u2014 \u00abJavaScript Deobfuscator &amp; Unpacker\u00bb;<\/p>\n<p><a href=\"https:\/\/gchq.github.io\/CyberChef\/\">CyberChief<\/a>\u00a0 \u2014 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0434\u043b\u044f \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430.<\/p>\n<\/div>\n<\/details>\n<p><strong> <\/strong>   \u0418\u0442\u0430\u043a, \u043d\u0430\u0447\u043d\u0435\u043c. <\/p>\n<h2>\u0418\u0437\u0443\u0447\u0430\u0435\u043c \u0434\u0430\u043c\u043f \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0438\u0437 \u0437\u0430\u0434\u0430\u043d\u0438\u044f<\/h2>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0430\u0440\u0445\u0438\u0432\u0430 \u0438\u0437 <a href=\"https:\/\/cyberdefenders.org\/blueteam-ctf-challenges\/47\">GetPDF<\/a> \u043d\u0430 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u0441 \u0437\u0430\u0434\u0430\u043d\u0438\u0435\u043c, \u0432 \u043d\u0430\u0448\u0435\u043c \u0440\u0430\u0441\u043f\u043e\u0440\u044f\u0436\u0435\u043d\u0438\u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0434\u0430\u043c\u043f \u0442\u0440\u0430\u0444\u0438\u043a\u0430 lala.pcap. \u0417\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c \u0435\u0433\u043e \u0432 NetworkMiner. \u042d\u0442\u043e\u0442 \u0434\u0430\u043c\u043f \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0430\u043c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e URL paths, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0432\u043e\u0432\u043b\u0435\u0447\u0435\u043d\u044b \u0432 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442 \u2014 <strong>\u0438\u0445 6. <\/strong>\u0422\u0435\u043c \u0441\u0430\u043c\u044b\u043c \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043e\u0442\u0432\u0435\u0442 \u043d\u0430<strong> \u0412\u043e\u043f\u0440\u043e\u0441 1. How many URL path(s) are involved in this incident? <\/strong><\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/c06\/b6f\/238\/c06b6f2387fde2dd22a64e378f19f640.JPG\" alt=\"URL paths\" title=\"URL paths\" width=\"1920\" height=\"412\"\/><figcaption>URL paths<\/figcaption><\/figure>\n<p>\u0414\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0432\u0442\u043e\u0440\u043e\u0433\u043e \u0438 \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u043e\u0434\u0433\u0440\u0443\u0437\u0438\u0442\u044c lala.pcap \u0432 Wireshark \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f:<\/p>\n<p>1.\u00a0\u00a0\u00a0 \u0424\u0430\u0439\u043b \u2014> \u042d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u041e\u0431\u044a\u0435\u043a\u0442\u044b \u2014> HTTP (\u0432\u0441\u0435)<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/19b\/86c\/ffc\/19b86cffccf854b7b5cacdb25327df24.png\" alt=\"\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430\" title=\"\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430\" width=\"944\" height=\"469\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/19b\/86c\/ffc\/19b86cffccf854b7b5cacdb25327df24.png\"\/><figcaption>\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430<\/figcaption><\/figure>\n<p>2.\u00a0\u00a0\u00a0 \u041d\u0430\u0436\u0430\u0442\u044c \u041f\u041a\u041c \u043d\u0430 \u043f\u043e\u0442\u043e\u043a \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0432 \u043e\u043a\u043d\u0435 WireShark \u0441 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u043c http \u0438 \u0434\u0430\u043b\u0435\u0435 \u2014 \u00abFollow\u00bb<\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u043c\u044b \u0443\u0432\u0438\u0434\u0438\u043c GET \u2013 \u0437\u0430\u043f\u0440\u043e\u0441 \u0441 URL. \u0414\u0430\u043d\u043d\u044b\u0439 URL &#8212; \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 2.<\/strong> <strong>What is the URL which contains the JS code?<\/strong> \u0412 \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 JS code.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/ff0\/8ea\/28d\/ff08ea28da5d504aee93665341da8df2.JPG\" alt=\"\u041f\u043e\u0442\u043e\u043a http,\u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u043c\" title=\"\u041f\u043e\u0442\u043e\u043a http,\u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u043c\" width=\"1274\" height=\"793\"\/><figcaption>\u041f\u043e\u0442\u043e\u043a http,\u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u043c<\/figcaption><\/figure>\n<p>\u0427\u0442\u043e\u0431\u044b \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 3. What is the URL hidden in the JS code?,<\/strong> \u00a0\u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0440\u043e\u0434\u0435\u0431\u0430\u0436\u0438\u0442\u044c \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 JS \u043a\u043e\u0434, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0441\u043a\u0440\u044b\u0442\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0441\u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u043a\u043e\u0434 \u0432 de4js \u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043c \u0435\u0433\u043e \u043a \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u0432\u0438\u0434\u0443. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0432 \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043d\u044f\u0442\u044c, \u0447\u0442\u043e \u043f\u043e\u0441\u043b\u0435 \u043a\u043e\u0434\u0430 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0432 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u044e \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f ZeJexn. \u0422\u0435\u043f\u0435\u0440\u044c \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0432\u044b\u0432\u0435\u0434\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u044d\u0442\u043e\u0439 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u0438 alert(ZeJexn):<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/eea\/1b3\/e7e\/eea1b3e7e498b4add41f3466f192f373.JPG\" alt=\"\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430\" title=\"\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430\" width=\"1627\" height=\"748\"\/><figcaption>\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430<\/figcaption><\/figure>\n<p><strong>\u0412\u043e\u0442 \u043d\u0430\u0448\u0430 \u0441\u0441\u044b\u043b\u043a\u0430 \u0438 \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 \u0442\u0440\u0435\u0442\u0438\u0439 \u0432\u043e\u043f\u0440\u043e\u0441!<\/strong><\/p>\n<p>\u0412 <strong>\u0412\u043e\u043f\u0440\u043e\u0441\u0435 4. What is the MD5 hash of the PDF file contained in the packet? <\/strong>\u043c\u044b \u0434\u043e\u043b\u0436\u043d\u044b \u043f\u043e\u0441\u0447\u0438\u0442\u0430\u0442\u044c MD5 \u0425\u044d\u0448 \u043e\u0442 \u0440\u0430\u043d\u0435\u0435 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0447\u0435\u0440\u0435\u0437 Wireshark \u0444\u0430\u0439\u043b\u0430 fcexploit.pdf. \u042f \u0441\u0434\u0435\u043b\u0430\u044e \u044d\u0442\u043e \u0447\u0435\u0440\u0435\u0437 PowerShell:<\/p>\n<p><strong><em>Get-FileHash -Algorithm MD5 fcexploit.pdf<\/em><\/strong><\/p>\n<p>\u0418 \u043f\u043e\u043b\u0443\u0447\u0443 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0439 \u043d\u0430\u043c \u0445\u044d\u0448:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/cf5\/0ba\/6dc\/cf50ba6dc453e310fa574af1f0ddd6e0.png\" alt=\"MD5 Hash \u0444\u0430\u0439\u043b\u0430 fcexploit.pdf\" title=\"MD5 Hash \u0444\u0430\u0439\u043b\u0430 fcexploit.pdf\" width=\"944\" height=\"141\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/cf5\/0ba\/6dc\/cf50ba6dc453e310fa574af1f0ddd6e0.png\"\/><figcaption>MD5 Hash \u0444\u0430\u0439\u043b\u0430 fcexploit.pdf<\/figcaption><\/figure>\n<h2>\u041f\u043e\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u0441\u044f \u0432 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0444\u0430\u0439\u043b\u0430 PDF \u0438 \u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435   <\/h2>\n<p>\u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442\u044c \u043a \u0430\u043d\u0430\u043b\u0438\u0437\u0443 PDF \u0444\u0430\u0439\u043b\u0430, \u043d\u0443\u0436\u043d\u043e \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0441\u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 \u0444\u0430\u0439\u043b\u043e\u0432 \u0442\u0430\u043a\u043e\u0433\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0430.<\/p>\n<p>\u0415\u0441\u043b\u0438 \u043a\u043e\u0440\u043e\u0442\u043a\u043e, PDF \u0444\u0430\u0439\u043b \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437:<\/p>\n<ul>\n<li>\n<p>\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 (<strong>Header<\/strong>);<\/p>\n<\/li>\n<li>\n<p>\u0442\u0435\u043b\u0430 (<strong>Body<\/strong>);<\/p>\n<\/li>\n<li>\n<p>\u0442\u0430\u0431\u043b\u0438\u0446\u044b \u043f\u0435\u0440\u0435\u043a\u0440\u0435\u0441\u0442\u043d\u044b\u0445 \u0441\u0441\u044b\u043b\u043e\u043a <strong>Cross-reference table<\/strong>;<\/p>\n<\/li>\n<li>\n<p>\u0438 \u0442\u0440\u0435\u0439\u043b\u0435\u0440\u0430.<\/p>\n<\/li>\n<\/ul>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/fa6\/8a0\/07d\/fa68a007d3461d02750585c828e8dac0.png\" alt=\"\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 PDF\" title=\"\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 PDF\" width=\"394\" height=\"302\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/fa6\/8a0\/07d\/fa68a007d3461d02750585c828e8dac0.png\"\/><figcaption>\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 PDF<\/figcaption><\/figure>\n<p><strong>Header <\/strong>\u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0432\u0435\u0440\u0441\u0438\u0438 %PDF-1.3.% \u2014 \u0432 \u043d\u0430\u0448\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u043e \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 http \u043f\u043e\u0442\u043e\u043a\u0430 \u0432 \u0434\u0430\u043c\u043f\u0435 \u0447\u0435\u0440\u0435\u0437 Wireshark (\u043a\u0430\u043a \u0438 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430).<\/p>\n<p><strong>Body <\/strong>\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 objects (streams), \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b. <\/p>\n<p><strong>Cross-reference table<\/strong> \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0441 \u043a\u0430\u0436\u0434\u044b\u043c \u0438\u0437 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u0441\u044f \u0432 \u0442\u0435\u043b\u0435.<\/p>\n<p><strong>Trailer <\/strong>\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442, \u043a\u0430\u043a \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0431\u0443\u0434\u0443\u0442 \u0447\u0438\u0442\u0430\u0442\u044c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442, \u0442\u0430\u043a \u043a\u0430\u043a \u0447\u0442\u0435\u043d\u0438\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043a\u043e\u043d\u0446\u0430 (\u0438\u043c\u0435\u043d\u043d\u043e \u043e\u0442\u0441\u044e\u0434\u0430), \u0433\u0434\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u0442 <strong>Cross-reference table <\/strong>\u0438 \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043a \u043e\u0431\u044a\u0435\u043a\u0442\u0430\u043c \u043f\u043e \u0441\u0441\u044b\u043b\u043a\u0430\u043c \u0438\u0437 \u0442\u0430\u0431\u043b\u0438\u0446\u044b.<\/p>\n<p>\u041d\u0430\u043c \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043c\u0435\u0448\u0430\u0435\u0442 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0430\u0448\u0438 \u043d\u043e\u0432\u044b\u0435 <strong>Body, Cross-reference table, Trailer <\/strong>\u0432 \u043a\u043e\u043d\u0435\u0446 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430, \u043d\u0435\u0438\u0437\u043c\u0435\u043d\u043d\u044b\u043c \u043e\u0441\u0442\u0430\u043d\u0435\u0442\u0441\u044f \u043b\u0438\u0448\u044c <strong>Header.<\/strong><\/p>\n<p>\u0420\u0430\u0437\u043e\u0431\u0440\u0430\u0432\u0448\u0438\u0441\u044c \u0441 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043e\u0439 PDF \u0444\u0430\u0439\u043b\u0430, \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u0435\u0435 \u0438\u0437\u0443\u0447\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 <strong>Body<\/strong>. \u0417\u0434\u0435\u0441\u044c \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f <strong>\u043f\u043e\u0442\u043e\u043a\u0438 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432<\/strong> \u2014 \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0431\u0430\u0439\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043c\u043e\u0436\u0435\u0442 \u0438\u043c\u0435\u0442\u044c \u043d\u0435\u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440. \u0423 \u0432\u0441\u0435\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u0435\u0441\u0442\u044c \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u0441\u0441\u044b\u043b\u0430\u0442\u044c\u0441\u044f \u0434\u043b\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 PDF. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432 \u043d\u0430\u0448\u0435\u043c \u043a\u0435\u0439\u0441\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442 \u00ab\/JS 5 0 R\u00bb,\u00a0R \u2014 \u043e\u0442 reference. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043d\u0435\u0435 \u043c\u043e\u0436\u043d\u043e \u0443\u0437\u043d\u0430\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043a\u0430\u043a\u043e\u0433\u043e \u043e\u0431\u044a\u0435\u043a\u0442\u0430 \u0431\u0443\u0434\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043e \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u044d\u0442\u0430\u043f\u0435.<\/p>\n<p>\u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432 PDF \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u044b\u043c \u043f\u043e\u0442\u043e\u043a\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432 \u0441\u0445\u0435\u043c\u044b \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 (\/Filter), \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \/Filter [\/FlateDecode]. \u042d\u0442\u043e \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u0436\u0430\u0442\u0438\u044f zlib\/deflate\u2026.<\/p>\n<p>\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 PDF \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c <a href=\"https:\/\/resources.infosecinstitute.com\/topic\/pdf-file-format-basic-structure\/\">\u0437\u0434\u0435\u0441\u044c<\/a>.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c, \u043a\u043e\u0433\u0434\u0430 \u043c\u044b \u0438\u043c\u0435\u0435\u043c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 PDF-\u0444\u0430\u0439\u043b\u043e\u0432, \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u0438\u0437 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f GetPDF. <\/p>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 5. How many object(s) are contained inside the PDF file?<\/strong> \u0427\u0442\u043e\u0431\u044b \u0443\u0437\u043d\u0430\u0442\u044c \u043e\u0442\u0432\u0435\u0442, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f pdfid \u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0445\u0441\u044f \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u0432 PDF \u0444\u0430\u0439\u043b\u0435 \u2013 <strong>\u0438\u0445 19.<\/strong> <\/p>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e obj != endobj \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0434\u0435\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d (malformed).<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/891\/4cf\/539\/8914cf539ed980e28e3ccbad195515e7.JPG\" alt=\"\u0421\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0432\u044b\u0432\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b pdfid.py\" title=\"\u0421\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0432\u044b\u0432\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b pdfid.py\" width=\"522\" height=\"443\"\/><figcaption>\u0421\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0432\u044b\u0432\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b pdfid.py<\/figcaption><\/figure>\n<p>\u041e\u0442\u0432\u0435\u0447\u0430\u044f \u043d\u0430<strong> \u0412\u043e\u043f\u0440\u043e\u0441 6. How many filtering schemes are used for the object streams?<\/strong>, \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0435\u0449\u0435 \u0440\u0430\u0437 \u043d\u0430 \u043d\u0430\u0448 http \u043f\u043e\u0442\u043e\u043a \u0432 Wireshark\u2019e. \u041c\u044b \u0443\u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u0434\u043b\u044f object streams (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, 10) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f <strong>4 \u0441\u0445\u0435\u043c\u044b<\/strong> \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/ee4\/fcf\/9d2\/ee4fcf9d272a75ca3050878821868b42.png\" alt=\"\u0421\u0445\u0435\u043c\u044b \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0432 \u043f\u043e\u0442\u043e\u043a\u0435 \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430\" title=\"\u0421\u0445\u0435\u043c\u044b \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0432 \u043f\u043e\u0442\u043e\u043a\u0435 \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430\" width=\"936\" height=\"206\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/ee4\/fcf\/9d2\/ee4fcf9d272a75ca3050878821868b42.png\"\/><figcaption>\u0421\u0445\u0435\u043c\u044b \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0432 \u043f\u043e\u0442\u043e\u043a\u0435 \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430<\/figcaption><\/figure>\n<p>\u041e\u0442\u0432\u0435\u0442\u043e\u043c \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 7. What is the number of the \u2018object stream\u2019 that might contain malicious JS code?<\/strong> \u0441\u0442\u0430\u043d\u0435\u0442 \u0443\u0436\u0435 \u0440\u0430\u043d\u0435\u0435 \u0437\u043d\u0430\u043a\u043e\u043c\u0430\u044f \u0441\u0441\u044b\u043b\u043a\u0430 <strong>\u00ab\/JS 5 0 R\u00bb \u0438\u0437 4-\u0433\u043e object stream\u2019\u0430.<\/strong><\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/16d\/10f\/1bc\/16d10f1bc7b3245705031dffc2fcffbd.JPG\" alt=\"\u0421\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 JS code\" title=\"\u0421\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 JS code\" width=\"592\" height=\"192\"\/><figcaption>\u0421\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 JS code<\/figcaption><\/figure>\n<h2>\u041d\u0435\u043c\u043d\u043e\u0433\u043e \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u043e\u0432<\/h2>\n<p>\u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u044c, \u044f \u0432\u044b\u0434\u0435\u0440\u043d\u0443 \u0434\u0430\u043c\u043f\u044b \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e pdfextract \u0438\u0437 Origami:<br \/> <strong><em>.\/pdfextract fcexploit.pdf<\/em><\/strong><\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c7e\/fb3\/8de\/c7efb38dec28da570876437246efd942.png\" alt=\"\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 pdfextract\" title=\"\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 pdfextract\" width=\"983\" height=\"444\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/c7e\/fb3\/8de\/c7efb38dec28da570876437246efd942.png\"\/><figcaption>\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 pdfextract<\/figcaption><\/figure>\n<p>\u0412 \u043f\u0435\u0440\u0432\u0443\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c \u043d\u0430\u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u0435\u0442 5-\u044b\u0439 \u043f\u043e\u0442\u043e\u043a, \u0432\u0435\u0434\u044c \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 JavaScript Code \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \/Action, \u0438\u0437-\u0437\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f JS Code \u0438\u0437 5 object stream\u2019a.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/bda\/823\/13b\/bda82313b5b88420b7fa6d0e4aceb1b7.jpg\" width=\"2457\" height=\"2789\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/bda\/823\/13b\/bda82313b5b88420b7fa6d0e4aceb1b7.jpg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u043e\u043d\u044f\u0442\u044c, \u0447\u0442\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445:    <\/p>\n<h2>\u201c____SSS\u201d &amp; \u201c$S \u201d    <\/h2>\n<p>\u041c\u044b \u0441 \u0432\u0430\u043c\u0438 \u0443\u0436\u0435 \u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u0447\u0442\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043a\u043e\u043d\u0446\u0430 (\u0441 Trailer\u2019\u0430), \u043f\u043e\u044d\u0442\u043e\u043c\u0443, \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 <strong><em>pdf-parser.py -v fcexploit.pdf<\/em><\/strong>  \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 pdf. <\/p>\n<p>\u0417\u0430\u0439\u0434\u044f \u0432 Trailer, \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c, \u0447\u0442\u043e \u0437\u0430\u043f\u0438\u0441\u044c \/Info \u0441\u0441\u044b\u043b\u0430\u0435\u0442\u0441\u044f \u043d\u0430 11 obj:<\/p>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e35\/4b4\/12b\/e354b412b5a963764483aebfd8530363.png\" width=\"409\" height=\"341\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/e35\/4b4\/12b\/e354b412b5a963764483aebfd8530363.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0415\u0441\u043b\u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 11 object, \u0442\u043e \u043c\u044b \u0443\u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c \/Title \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 10 obj, \u0430 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 10-\u0433\u043e \u043e\u0431\u044a\u0435\u043a\u0442\u0430 \u043f\u043e\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e $S. \u0422\u0430\u043a\u0436\u0435 \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e 11 obj \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u043e\u0442\u043e\u043a \u0431\u0430\u0439\u0442\u043e\u0432, \u043e\u0434\u043d\u0430\u043a\u043e, pdfextractor \u0435\u0433\u043e \u043d\u0435 \u0438\u0437\u0432\u043b\u0435\u043a. <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9f5\/f4d\/fdc\/9f5f4dfdc9ba025cf112d06f9444da61.png\" alt=\"\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 obj 11\" title=\"\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 obj 11\" width=\"912\" height=\"551\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/9f5\/f4d\/fdc\/9f5f4dfdc9ba025cf112d06f9444da61.png\"\/><figcaption>\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 obj 11<\/figcaption><\/figure>\n<p>\u0412\u044b\u0445\u043e\u0434\u0438\u0442, \u0447\u0442\u043e \u0434\u0435\u043b\u043e \u0437\u0430 \u043c\u0430\u043b\u044b\u043c. \u0421\u043c\u043e\u0442\u0440\u0438\u043c, \u0447\u0442\u043e \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 stream_10.dmp (\u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u044b \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u043c \u0448\u0430\u0433\u0435).<\/p>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c, \u0447\u0442\u043e \u0421at stream_10.dmp \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435:<\/p>\n<p><strong><em>U_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab3953U_155bf62c9aU_7917ab3953U_&lt;\u2026\u2026..>7917ab3924U_155bf62c9aU_7917ab3929U_155bf62c9aU_7917ab393b<\/em><\/strong><\/p>\n<p>\u0410 \u0434\u0430\u043b\u044c\u0448\u0435 \u043d\u0430\u0434\u043e \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435. \u041c\u043e\u0436\u043d\u043e, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u043f\u043e\u0439\u0442\u0438 \u0432 <a href=\"https:\/\/gchq.github.io\/CyberChef\/\">CyberChief<\/a>, \u043d\u043e \u043c\u044b \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u00a0\u043e\u0442\u043a\u0440\u044b\u0442\u043e\u0439 \u043a\u043e\u043d\u0441\u043e\u043b\u044c\u044e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430. \u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u043f\u043e \u043a\u043e\u0434\u0443 5-\u0433\u043e stream\u2019\u0430 \u0431\u0443\u0434\u0435\u0442 \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0438\u0434\u0435\u0442 \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043c\u0430\u0441\u0441\u0438\u0432\u0430 \u0438\u0437 16-\u0433\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0430 \u0432 ASCII. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0440\u043e\u0434\u0435\u0431\u0430\u0436\u0438\u043c \u043d\u0430 \u0445\u043e\u0434\u0443.<\/p>\n<p>\u041f\u0435\u0440\u0435\u0434\u0430\u0434\u0438\u043c \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e <code>S<\/code> \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 10 \u043f\u043e\u0442\u043e\u043a\u0430, \u0430 \u0434\u0430\u043b\u0435\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u043c \u043a\u0443\u0441\u043e\u0447\u0435\u043a \u043a\u043e\u0434\u0430 \u0438\u0437 5-\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u0430 \u0434\u043b\u044f \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/456\/654\/023\/4566540235585a5324f59937feacc1ef.png\" alt=\"\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 5 \u043f\u043e\u0442\u043e\u043a\u0430\" title=\"\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 5 \u043f\u043e\u0442\u043e\u043a\u0430\" width=\"944\" height=\"139\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/456\/654\/023\/4566540235585a5324f59937feacc1ef.png\"\/><figcaption>\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 5 \u043f\u043e\u0442\u043e\u043a\u0430<\/figcaption><\/figure>\n<p><strong>\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u043510 \u043f\u043e\u0442\u043e\u043a\u0430 <\/strong><\/p>\n<p> De4js \u043f\u043e\u043c\u043e\u0433 \u043f\u0440\u0438\u0432\u0435\u0441\u0442\u0438 \u043a\u043e\u0434 \u043a \u0447\u0438\u0442\u0430\u0435\u043c\u043e\u043c\u0443 \u0432\u0438\u0434\u0443:  <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/f5b\/406\/e3d\/f5b406e3d8441e87ff73ebbe492f016c.jpg\" width=\"2457\" height=\"1249\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/f5b\/406\/e3d\/f5b406e3d8441e87ff73ebbe492f016c.jpg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0412\u044b\u0448\u0435 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435, \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u043d\u043e\u0435 \u043a \u0447\u0438\u0442\u0430\u0435\u043c\u043e\u043c\u0443 \u0432\u0438\u0434\u0443 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 <code>$5<\/code>. \u0410 \u0432 5-\u043e\u043c \u043f\u043e\u0442\u043e\u043a\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f <code>app.doc.getAnnots({nPage:0});<\/code>. \u0412 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u0443 \u043d\u0430\u0441 \u0432\u0441\u0435\u0433\u043e 3 \u043e\u0431\u044a\u0435\u043a\u0442\u0430, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0445 \u0437\u0430\u043f\u0438\u0441\u0438 \/Annot:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b0f\/bf5\/4dc\/b0fbf54dc0802924858e4654915c5aa0.png\" alt=\"\u041e\u0431\u044a\u0435\u043a\u0442\u044b \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \/Annot \u0432 pdf\" title=\"\u041e\u0431\u044a\u0435\u043a\u0442\u044b \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \/Annot \u0432 pdf\" width=\"535\" height=\"339\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/b0f\/bf5\/4dc\/b0fbf54dc0802924858e4654915c5aa0.png\"\/><figcaption>\u041e\u0431\u044a\u0435\u043a\u0442\u044b \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \/Annot \u0432 pdf<\/figcaption><\/figure>\n<p>\u0412\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0432 \u043d\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u044d\u0442\u0438\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432, \u0443\u0432\u0438\u0434\u0438\u043c \u0441\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0434\u0440\u0443\u0433\u0438\u0435 \u043d\u0435 \u043c\u0435\u043d\u0435\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b <strong>7 \u0438 9 <\/strong>\u0441 \u043f\u043e\u0442\u043e\u043a\u0430\u043c\u0438 \u0431\u0430\u0439\u0442\u043e\u0432 (\u0432\u0438\u0434\u043d\u043e \/Lenght&#8230;)<strong>. <\/strong>\u0421\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u044d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 8. Analyzing the PDF file. What \u2018object-streams\u2019 contain the JS code responsible for executing the shellcodes? The JS code is divided into two streams. Format: two numbers separated with \u2018,\u2019. Put the numbers in ascending order<\/strong>.<\/p>\n<p>\u041e\u0431\u044a\u0435\u043a\u0442\u044b <strong>7 \u0438 9<\/strong> \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b \u043d\u0430\u043c \u0435\u0449\u0435 \u0438 \u0442\u0435\u043c, \u0447\u0442\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 \u0432 \u0441\u0435\u0431\u0435 \u043f\u043e\u0442\u043e\u043a\u0438. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c-pdfextract \u0438\u0437 Origami \u0443\u0436\u0435 \u0432\u0441\u0435 \u0441\u0430\u043c \u0438\u0437\u0432\u043b\u0435\u043a, \u043e\u0441\u0442\u0430\u043b\u043e\u0441\u044c \u043f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u0432 \u0438\u0445 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0438 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c. <\/p>\n<p>\u0418\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 10-\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u0430 \u0432\u0438\u0434\u043d\u043e:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/6f5\/865\/cb0\/6f5865cb07aa490c0b6f369a14101330.jpg\" width=\"2457\" height=\"893\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/6f5\/865\/cb0\/6f5865cb07aa490c0b6f369a14101330.jpg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/456\/eee\/d90\/456eeed9017645887526d44bb6d9e33d.png\" alt=\"\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0441 \u043f\u043e\u0442\u043e\u043a\u0430\u043c\u0438\" title=\"\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0441 \u043f\u043e\u0442\u043e\u043a\u0430\u043c\u0438\" width=\"552\" height=\"441\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/456\/eee\/d90\/456eeed9017645887526d44bb6d9e33d.png\"\/><figcaption>\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0441 \u043f\u043e\u0442\u043e\u043a\u0430\u043c\u0438<\/figcaption><\/figure>\n<p>\u041e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0442\u043e\u043a\u0430 stream_7.dmp \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:<br \/> <strong><em>89af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889af50d3889a&lt;\u2026.>d7489af50d6989af50d6f89af50d6e89af50d2889<\/em><\/strong><\/p>\n<p>\u041a\u0430\u043a \u0438 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0442\u043e\u043a\u0430 stream_9.dmp \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:<\/p>\n<p><strong><em>17098774320X_17844743X_17098774320X_17844743X_17098774320X_17844743X_170987743 20X_17844743X_17098774320X_&lt;\u2026.>17844743X_17098774320X_17844743X_17098774320<\/em><\/strong>  <\/p>\n<p>\u0417\u0434\u0435\u0441\u044c \u0434\u043b\u044f \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0432\u0441\u0435 \u0436\u0435 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f CyberChief \u0438 \u043d\u0430\u043f\u0438\u0448\u0435\u043c <a href=\"https:\/\/gchq.github.io\/CyberChef\/#recipe=Find_\/_Replace(%7B'option':'Regex','string':'X_17844743X_170987743'%7D,'%25',true,false,true,false)Find_\/_Replace(%7B'option':'Regex','string':'89af50d'%7D,'%25',true,false,true,false)Find_\/_Replace(%7B'option':'Regex','string':'%5C%5Cn,%5C%5Cr'%7D\">\u0441\u0432\u043e\u0439 \u0440\u0435\u0446\u0435\u043f\u0442<\/a>, \u0438\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u043a\u043e\u0434\u0430 10-\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u0430. <\/p>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b45\/d80\/823\/b45d80823f27cf37f5c9e3463e3a6d48.png\" alt=\"\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e 7 \u0438 9 \u043f\u043e\u0442\u043e\u043a\u043e\u0432\" title=\"\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e 7 \u0438 9 \u043f\u043e\u0442\u043e\u043a\u043e\u0432\" width=\"1032\" height=\"785\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/b45\/d80\/823\/b45d80823f27cf37f5c9e3463e3a6d48.png\"\/><figcaption>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e 7 \u0438 9 \u043f\u043e\u0442\u043e\u043a\u043e\u0432<\/figcaption><\/figure>\n<p>\u041a\u043e\u0434 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 4 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430:<\/p>\n<ol>\n<li>\n<p><strong>calc.exe payload \u2014 CVE-2009-4324<\/strong><\/p>\n<\/li>\n<li>\n<p><strong>freecell.exe payload \u2013 CVE-2008-2992<\/strong><\/p>\n<\/li>\n<li>\n<p><strong>notepad.exe payload \u2013 CVE-2007-5659<\/strong><\/p>\n<\/li>\n<li>\n<p><strong>cmd.exe payload \u2013 CVE-2009-0927<\/strong><\/p>\n<\/li>\n<\/ol>\n<p>\u041f\u0435\u0440\u0435\u0434 \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c payload \u043d\u0443\u0436\u043d\u043e \u0430\u043a\u043a\u0443\u0440\u0430\u0442\u043d\u0435\u043d\u044c\u043a\u043e \u0441\u043b\u043e\u0436\u0438\u0442\u044c \u0432 *.sc \u0438\u043b\u0438 *.exe \u0444\u0430\u0439\u043b. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0441\u0430\u0439\u0442\u043e\u043c <a href=\"http:\/\/sandsprite.com\/sc2exe\/shellcode_2_exe.php\">shell2exe<\/a>, \u0433\u0434\u0435 \u043d\u0430 \u0432\u0445\u043e\u0434 \u043f\u043e\u0434\u0430\u0434\u0438\u043c payload, \u0430 \u043d\u0430 \u0432\u044b\u0445\u043e\u0434\u0435 \u043d\u0430\u0441 \u0431\u0443\u0434\u0435\u0442 \u0443\u0436\u0435 \u0436\u0434\u0430\u0442\u044c exe-\u0444\u0430\u0439\u043b.<\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u043c shellcode.exe \u0432 IDA Pro \u0438\u043b\u0438 x32 Debugger. \u0418 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0434\u043b\u044f 4-\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u043f\u043e\u043b\u043d\u044b\u0439 \u043f\u0443\u0442\u044c \u043f\u043e\u0441\u043b\u0435 \u043f\u043e\u0434\u0433\u0440\u0443\u0437\u043a\u0438<strong> malware4 \u2013 C:\\Windows\\System32\\a.exe<\/strong>. \u042d\u0442\u043e \u0438 \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u0432\u0435\u0442\u043e\u043c \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 9. The JS code responsible for executing the exploit contains shellcodes that drop malicious executable files. What is the full path of malicious executable files after being dropped by the malware on the victim machine?<\/strong><\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/253\/29c\/a10\/25329ca1096a863000ce0b43a671e08e.png\" alt=\"\u041e\u0442\u043b\u0430\u0434\u043a\u0430 exe \u0444\u0430\u0439\u043b\u0430 \u0441 \u043a\u043e\u0434\u043e\u043c 4-\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430\" title=\"\u041e\u0442\u043b\u0430\u0434\u043a\u0430 exe \u0444\u0430\u0439\u043b\u0430 \u0441 \u043a\u043e\u0434\u043e\u043c 4-\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430\" width=\"1004\" height=\"377\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/253\/29c\/a10\/25329ca1096a863000ce0b43a671e08e.png\"\/><figcaption>\u041e\u0442\u043b\u0430\u0434\u043a\u0430 exe \u0444\u0430\u0439\u043b\u0430 \u0441 \u043a\u043e\u0434\u043e\u043c 4-\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430<\/figcaption><\/figure>\n<p>\u041f\u043e\u043c\u043d\u0438\u043c, \u0447\u0442\u043e 11-\u044b\u0439 \u043e\u0431\u044a\u0435\u043a\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u043e\u0442\u043e\u043a, \u043d\u043e pdfextractor (\u0438\u0437 Origami) \u0435\u0433\u043e \u043d\u0435 \u0438\u0437\u0432\u043b\u0435\u043a, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0447\u0435\u0440\u0435\u0437 PdfStreamDumper.exe. \u042d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c \u0432\u0441\u0435 \u043f\u043e\u0442\u043e\u043a\u0438 \u0447\u0435\u0440\u0435\u0437 \u041f\u041a\u041c &#8212; Save all decompressed streams, \u0442\u0430\u043a \u043a\u0430\u043a \u0432 \u0441\u0445\u0435\u043c\u0435 \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f [\/FlateDecode], \u0430 \u043d\u0430\u043c \u0443\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u0447\u0442\u043e \u044d\u0442\u043e \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043e \u0441\u0442\u0435\u043f\u0435\u043d\u0438 \u0441\u0436\u0430\u0442\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 zlib\/deflate. \u0418\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u044d\u0442\u043e\u0433\u043e, \u044f \u043f\u0440\u0438\u043c\u0435\u043d\u044e \u043a \u043f\u043e\u0442\u043e\u043a\u0443 zlib decode. \u0414\u043b\u044f \u0447\u0435\u0433\u043e \u043d\u0430\u0434\u043e \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c: Tools \u2013 Zlib Decompress_File \u0434\u043b\u044f 11-\u0433\u043e \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043d\u043e\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u0430. <\/p>\n<p>\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e1f\/375\/539\/e1f3755395ca8c1850159f0ca1f1478b.png\" alt=\"\u0414\u0435\u043a\u043e\u043c\u043f\u0440\u0435\u0441\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 11 \u043f\u043e\u0442\u043e\u043a\u0430\" title=\"\u0414\u0435\u043a\u043e\u043c\u043f\u0440\u0435\u0441\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 11 \u043f\u043e\u0442\u043e\u043a\u0430\" width=\"947\" height=\"367\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/e1f\/375\/539\/e1f3755395ca8c1850159f0ca1f1478b.png\"\/><figcaption>\u0414\u0435\u043a\u043e\u043c\u043f\u0440\u0435\u0441\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 11 \u043f\u043e\u0442\u043e\u043a\u0430<\/figcaption><\/figure>\n<p>\u0418\u0441\u0445\u043e\u0434\u044f \u0438\u0437 10 \u0432\u043e\u043f\u0440\u043e\u0441\u0430 \u0437\u0430\u0434\u0430\u043d\u0438\u044f (<strong>The PDF file contains another  exploit related to CVE-2010-0188. What is the URL of the malicious  executable that the shellcode associated with this exploit drop?<\/strong>), \u043c\u044b \u0438\u0441\u043a\u0430\u043b\u0438 \u0438 \u043d\u0430\u0448\u043b\u0438 <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=cve-2010-0188\">CVE-2010-0188<\/a>  (\u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043f\u043e \u0441\u0441\u044b\u043b\u043a\u0435). \u041f\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f LibTiff, \u0447\u0442\u043e  \u043c\u044b \u0438 \u0432\u0438\u0434\u0438\u043c \u0437\u0434\u0435\u0441\u044c. \u0427\u0442\u043e\u0431\u044b \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 10 \u0432\u043e\u043f\u0440\u043e\u0441 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0439\u0442\u0438 2-\u043c\u044f \u043f\u0443\u0442\u044f\u043c\u0438:<\/p>\n<ol>\n<li>\n<p>\u041b\u0435\u0433\u043a\u0438\u0439, \u0443 \u043d\u0430\u0441 \u0443\u0436\u0435 \u0435\u0441\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438 URL \u0438\u0437 \u043f\u0435\u0440\u0432\u043e\u0433\u043e \u0432\u043e\u043f\u0440\u043e\u0441\u0430 <a href=\"http:\/\/blog.honeynet.org.\">http:\/\/blog.honeynet.org.my\/forensic_challenge\/the_real_malware.exe<\/a> \u2014 \u044d\u0442\u043e\u0442 URL \u0438 \u0431\u0443\u0434\u0435\u0442 \u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u043e\u0442\u0432\u0435\u0442\u043e\u043c \u043d\u0430 10 \u0432\u043e\u043f\u0440\u043e\u0441. <\/p>\n<\/li>\n<\/ol>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/79a\/987\/b50\/79a987b5072b68fcf81c5fee968a0825.png\" alt=\"\u0424\u0430\u0439\u043b\u044b \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 (\u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u2013 NetworkMiner)\" title=\"\u0424\u0430\u0439\u043b\u044b \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 (\u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u2013 NetworkMiner)\" width=\"944\" height=\"163\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/79a\/987\/b50\/79a987b5072b68fcf81c5fee968a0825.png\"\/><figcaption>\u0424\u0430\u0439\u043b\u044b \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 (\u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u2013 NetworkMiner)<\/figcaption><\/figure>\n<ol start=\"2\">\n<li>\n<p>\u0427\u0443\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0442\u0440\u0443\u0434\u043e\u0435\u043c\u043a\u0438\u0439, \u043d\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u043f\u0443\u0442\u044c \u2013 \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 payload\u2019a \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430, \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u0437 base64, \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u0442\u044c, \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0432 <a href=\"http:\/\/sandsprite.com\/blogs\/index.php?uid=7&amp;pid=152\">scdbg.exe<\/a>.<\/p>\n<\/li>\n<\/ol>\n<p>\u0418\u0442\u043e\u0433\u043e, \u0432 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u043c \u043d\u0430\u043c\u0438 \u0444\u0430\u0439\u043b\u0435 \u0431\u044b\u043b\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e <strong>5 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u0432<\/strong> \u0438 \u044d\u0442\u043e \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 11.<\/strong> <strong>How many CVEs are included in the PDF file?<\/strong>.<\/p>\n<p><strong>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435:<\/strong><\/p>\n<p>\u0410\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044f \u00a0PDF \u0444\u0430\u0439\u043b, \u043c\u044b \u043f\u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u043b\u0438\u0441\u044c \u0441 \u0432\u044b\u0448\u0435 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u044b\u043c\u0438 \u0443\u0442\u0438\u043b\u0438\u0442\u0430\u043c\u0438, \u0443\u0437\u043d\u0430\u043b\u0438 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0444\u0430\u0439\u043b\u043e\u0432 \u0442\u0430\u043a\u043e\u0433\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0430, \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043b\u0438 JavaScript Code \u0438, \u0432 \u0438\u0442\u043e\u0433\u0435, \u043d\u0430\u0448\u043b\u0438 <strong>5 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u0432<\/strong>. \u0411\u0435\u0437\u0443\u0441\u043b\u043e\u0432\u043d\u043e, \u0440\u0435\u0448\u0438\u0442\u044c \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u00a0Get PDF<u> <\/u>\u043d\u0430 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u0435 Cyberdefenders.com \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0435\u043d\u044c\u0448\u0435\u0433\u043e \u043d\u0430\u0431\u043e\u0440\u0430 \u0443\u0442\u0438\u043b\u0438\u0442, \u043e\u0434\u043d\u0430\u043a\u043e, \u0432 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u0442\u0430\u043a\u0436\u0435 \u0445\u043e\u0442\u0435\u043b \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u0432\u0430\u0441 \u0441 \u043d\u0438\u043c\u0438 \u043f\u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u044c. \u0411\u043e\u043b\u0435\u0435 \u0433\u043b\u0443\u0431\u043e\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 <a href=\"https:\/\/blog.didierstevens.com\/programs\/pdf-tools\/\">\u0437\u0434\u0435\u0441\u044c<\/a>.<br \/>\u041d\u0430\u0434\u0435\u044e\u0441\u044c, \u0438\u0437\u043b\u043e\u0436\u0435\u043d\u043d\u0430\u044f \u043c\u043d\u043e\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0440\u0435\u0448\u0435\u043d\u0438\u0438 \u0432\u0430\u0448\u0438\u0445 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u043a\u0435\u0439\u0441\u043e\u0432! \u0412\u0441\u0435\u043c \u0443\u0434\u0430\u0447\u0438!<\/p>\n<p><strong><em>\u0410\u0432\u0442\u043e\u0440: <a class=\"mention\" href=\"\/users\/antonyn0p\">@AntonyN0p<\/a><\/em><\/strong> <strong><em>\u0410\u043d\u0442\u043e\u043d \u041a\u0443\u0437\u043d\u0435\u0446\u043e\u0432, \u0432\u0435\u0434\u0443\u0449\u0438\u0439 \u0438\u043d\u0436\u0435\u043d\u0435\u0440 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 R-Vision<\/em><\/strong>  <\/p>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/rvision\/blog\/682088\/\"> https:\/\/habr.com\/ru\/company\/rvision\/blog\/682088\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440! \u041c\u0435\u043d\u044f \u0437\u043e\u0432\u0443\u0442 \u0410\u043d\u0442\u043e\u043d, \u044f \u0432\u0435\u0434\u0443\u0449\u0438\u0439 \u0438\u043d\u0436\u0435\u043d\u0435\u0440 \u043f\u043e \u0418\u0411 \u0432 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 R-Vision, \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0435 \u0443\u0447\u0430\u0441\u0442\u0438\u0435 \u0432 \u0440\u0430\u0437\u0432\u0438\u0442\u0438\u0438 \u044d\u043a\u0441\u043f\u0435\u0440\u0442\u0438\u0437\u044b \u0432 \u0447\u0430\u0441\u0442\u0438 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u0432 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u043d\u0438\u0445. \u0410 \u0432 \u0441\u0432\u043e\u0431\u043e\u0434\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u044f \u0443\u0432\u043b\u0435\u043a\u0430\u044e\u0441\u044c \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f\u043c\u0438 \u0432 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0438 Digital Forensics &amp; Incident Response (DFIR), Malware Analysis. <\/p>\n<p>\u0412 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0435 \u0432\u0440\u0435\u043c\u044f \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0435 \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u043e \u043f\u0435\u0441\u0442\u0440\u0438\u0442 \u043d\u043e\u0432\u043e\u0441\u0442\u044f\u043c\u0438 \u043e \u0440\u0435\u0437\u043e\u043d\u0430\u043d\u0441\u043d\u044b\u0445 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u0445 \u0432 \u0420\u043e\u0441\u0441\u0438\u0438 \u0438 \u043c\u0438\u0440\u0435, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u043c\u0438 \u0430\u0442\u0430\u043a\u0430\u043c\u0438 \u043d\u0430 \u043a\u0440\u0443\u043f\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0438 \u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0441\u0435\u043a\u0442\u043e\u0440.<\/p>\n<p>\u0417\u0430\u043c\u0435\u0447\u0443, \u0447\u0442\u043e \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u0438\u043a \u0432\u0437\u043b\u043e\u043c\u0430 \u043a\u0440\u0443\u043f\u043d\u044b\u0445 \u043c\u0438\u0440\u043e\u0432\u044b\u0445 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0446\u0438\u0439 \u0431\u044b\u043b \u0438 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0444\u0438\u0448\u0438\u043d\u0433 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/versions\/v8\/techniques\/T1566\/001\/\">T1566.001<\/a>. \u041f\u043e\u0436\u0430\u043b\u0443\u0439, \u044f\u0440\u043a\u0438\u0439 \u0442\u043e\u043c\u0443 \u043f\u0440\u0438\u043c\u0435\u0440 \u2013 \u0432\u0437\u043b\u043e\u043c Garmin \u0432 \u0438\u044e\u043b\u0435 2020 \u0433\u043e\u0434\u0430, \u043a\u043e\u0433\u0434\u0430 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c \u0443\u043c\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043f\u043e\u0434\u0432\u0435\u0440\u0433\u0441\u044f \u0430\u0442\u0430\u043a\u0435 \u0445\u0430\u043a\u0435\u0440\u043e\u0432-\u0432\u044b\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u0435\u0439. \u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u0438\u043a\u0438 \u0430\u0442\u0430\u043a\u043e\u0432\u0430\u043b\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b Garmin \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0430\u043b\u0432\u0430\u0440\u0438 WastedLocker. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435, \u0441\u0435\u0440\u0432\u0438\u0441\u044b \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043d\u0430 \u0442\u0440\u0438 \u0434\u043d\u044f \u0432\u044b\u0448\u043b\u0438 \u0438\u0437 \u0441\u0442\u0440\u043e\u044f, \u0442\u0430\u043a \u043a\u0430\u043a \u0430\u0432\u0442\u043e\u0440\u044b \u043c\u0430\u043b\u0432\u0430\u0440\u044f \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u0438 \u0432\u044b\u043a\u0443\u043f \u0432 \u0440\u0430\u0437\u043c\u0435\u0440\u0435 $10 \u043c\u043b\u043d \u0437\u0430 \u043a\u043b\u044e\u0447\u0438 \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438.<\/p>\n<p>\u041a\u0430\u043a \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u043b\u043e\u0433\u0438\u043a\u0430 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f \u0432 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u0430: \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0435 \u043f\u0440\u043e\u0432\u043e\u0434\u044f\u0442 \u0442\u0430\u0440\u0433\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u0443\u044e \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e \u2013 targetor sprear [<a href=\"https:\/\/attack.mitre.org\/versions\/v8\/techniques\/T1566\/001\/\">T1566.001<\/a>], \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0432 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u0443\u044e \u0441\u0440\u0435\u0434\u0443 \u0437\u043b\u043e\u0432\u0440\u0435\u0434\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0438 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u0445 \u043f\u0438\u0441\u0435\u043c \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c\u0438 \u0438 \u0441\u0441\u044b\u043b\u043a\u0430\u043c\u0438. \u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0444\u0430\u0439\u043b (pdf, xlsx, docx \u0438 \u0434\u0440.), \u0442\u0435\u043c \u0441\u0430\u043c\u044b\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044f \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u0442\u0443\u0434\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u044e\u0449\u0438\u0435 \u0434\u043b\u044f \u0430\u0442\u0430\u043a\u0438 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b (\u0432\u0438\u0440\u0443\u0441\u044b, \u0442\u0440\u043e\u044f\u043d\u044b, \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u044c\u0449\u0438\u043a\u0438, \u0431\u044d\u043a\u0434\u043e\u0440\u044b \u0438 \u0442\u0434.). <\/p>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u043d\u0435 \u0431\u0443\u0434\u0443 \u0443\u0433\u043b\u0443\u0431\u043b\u044f\u0442\u044c\u0441\u044f \u0432 \u0442\u0430\u043a\u0442\u0438\u043a\u0438 \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0445 \u0430\u0442\u0430\u043a, \u0430 \u0445\u043e\u0447\u0443 \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0441 \u0432\u0430\u043c\u0438 \u043b\u0438\u0447\u043d\u044b\u043c \u043e\u043f\u044b\u0442\u043e\u043c \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0441 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 * pdf \u0438 \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e \u043f\u0440\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0445\u043e\u0434 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430 \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f <a href=\"https:\/\/cyberdefenders.org\/blueteam-ctf-challenges\/47\">GetPDF<\/a> \u0441 \u0440\u0435\u0441\u0443\u0440\u0441\u0430 <a href=\"https:\/\/cyberdefenders.org\/\">Cyberdefenders<\/a>. <\/p>\n<p>\u0414\u043b\u044f \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u044f \u0437\u0430\u0434\u0430\u043d\u0438\u044f GetPDF, \u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 11 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u043a\u0430\u0441\u0430\u044e\u0449\u0438\u0445\u0441\u044f \u0444\u0430\u0439\u043b\u0430 Malware PDF. <\/p>\n<details class=\"spoiler\">\n<summary>\u0421\u043f\u0438\u0441\u043e\u043a \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u043b\u044f \u0437\u0430\u0434\u0430\u043d\u0438\u044f <\/summary>\n<div class=\"spoiler__content\">\n<p><strong>1.\u00a0\u00a0\u00a0 How many URL path(s) are involved in this incident?<\/strong><\/p>\n<p><strong>2.\u00a0\u00a0\u00a0 What is the URL which contains the JS code?<\/strong><\/p>\n<p><strong>3.\u00a0\u00a0\u00a0 What is the URL hidden in the JS code?<\/strong><\/p>\n<p><strong>4.\u00a0\u00a0\u00a0 What is the MD5 hash of the PDF file contained in the packet?<\/strong><\/p>\n<p><strong>5.\u00a0\u00a0\u00a0 How many object(s) are contained inside the PDF file?<\/strong><\/p>\n<p><strong>6.\u00a0\u00a0\u00a0 How many filtering schemes are used for the object streams?<\/strong><\/p>\n<p><strong>7.\u00a0\u00a0\u00a0 What is the number of the &#8216;object stream&#8217; that might contain malicious JS code?<\/strong><\/p>\n<p><strong>8.\u00a0\u00a0\u00a0 Analyzing the PDF file. What &#8216;object-streams&#8217; contain the JS code responsible for executing the shellcodes? The JS code is divided into two streams. Format: two numbers separated with &#8216;,&#8217;. Put the numbers in ascending order<\/strong><\/p>\n<p><strong>9.\u00a0\u00a0\u00a0 The JS code responsible for executing the exploit contains shellcodes that drop malicious executable files. What is the full path of malicious executable files after being dropped by the malware on the victim machine?<\/strong><\/p>\n<p><strong>10. The PDF file contains another exploit related to CVE-2010-0188. What is the URL of the malicious executable that the shellcode associated with this exploit drop?<\/strong><\/p>\n<p><strong>11.How many CVEs are included in the PDF file?<\/strong><\/p>\n<\/div>\n<\/details>\n<p>\u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u0442\u044c, \u043e\u0431\u0440\u0430\u0449\u0430\u044e \u0432\u0430\u0448\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435: \u0435\u0441\u043b\u0438 \u0432\u044b \u0437\u0430\u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e, \u0442\u043e \u043a\u0440\u0430\u0439\u043d\u0435 <strong>\u043d\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f<\/strong> \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0435\u0433\u043e \u043d\u0430 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u043c \u0445\u043e\u0441\u0442\u0435. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u0434\u043d\u044f\u0442\u044c \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u043d\u0430 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435. <\/p>\n<p>\u0412 \u043c\u043e\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0437\u0430\u0434\u0430\u0447\u0438 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0434\u0432\u0443\u0445 \u0445\u043e\u0441\u0442\u043e\u0432, \u0441\u043e\u0435\u0434\u0438\u043d\u0451\u043d\u043d\u044b\u0445 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439. \u041d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d\u0438 \u0438\u043c\u0435\u044e\u0442 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u044b\u0439 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b VMWare \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u0441\u0435\u0442\u044c \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442. \u041f\u0435\u0440\u0432\u044b\u0439 \u0445\u043e\u0441\u0442 \u043d\u0430 Kali, \u0432\u0442\u043e\u0440\u043e\u0439 \u043f\u043e\u0434 Windows 10.<\/p>\n<p><strong>\u0412 \u0445\u043e\u0434\u0435 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u043e\u0433\u043e \u0441\u0442\u0435\u043d\u0434\u0430 \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0441 Malware \u0444\u0430\u0439\u043b\u0430\u043c\u0438, \u043d\u0430\u043c \u043f\u043e\u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f:<\/strong><\/p>\n<p>1. \u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0441\u0435\u0442\u0438;<\/p>\n<p>2. \u041e\u0442\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 Windows Defender (\u0434\u043b\u044f \u0445\u043e\u0441\u0442\u0430 \u043f\u043e\u0434 Windows 10) \u0434\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u044b:<\/p>\n<p><strong><em>Set-MpPreference-DisableRealtimeMonitoring $true<\/em><\/strong><\/p>\n<details class=\"spoiler\">\n<summary>\u0423\u0442\u0438\u043b\u0438\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u0443\u0434\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f<\/summary>\n<div class=\"spoiler__content\">\n<p><a href=\"https:\/\/www.wireshark.org\">Wireshark<\/a> \u2014 \u043d\u0435\u0437\u0430\u043c\u0435\u043d\u0438\u043c\u0430\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u0434\u043b\u044f \u0440\u0430\u0437\u0431\u043e\u0440\u0430 .pcap \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430;<\/p>\n<p><a href=\"https:\/\/www.netresec.com\/?page=NetworkMiner\">NetworkMiner<\/a> \u2014 \u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430, c GUI;<\/p>\n<p> <a href=\"https:\/\/github.com\/DidierStevens\/DidierStevensSuite\/blob\/master\/pdf-parser.py\">Pdf-parser.py<\/a> \u2014 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u0430\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u0430 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 PDF;<\/p>\n<p><a href=\"https:\/\/www.kali.org\/tools\/pdfid\/\">Pdfid<\/a> \u2014 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043f\u043e PDF;<\/p>\n<p><a href=\"http:\/\/sandsprite.com\/blogs\/index.php?pid=57&amp;uid=7\">PDFStreamDumper<\/a> \u2014 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 PDF, \u0438\u043c\u0435\u0435\u0442 GUI \u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f;<\/p>\n<p><a href=\"https:\/\/github.com\/cogent\/origami-pdf\">Origami <\/a>\u2014 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0430 \u043d\u0430 perl, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c streams, \u0441\u043a\u0440\u0438\u043f\u0442\u044b, \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438 \u0438\u0437 pdf, \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 shell \u043a\u043e\u0434\u043e\u043c, \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0442\u044c \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0438 \u043c\u043d\u043e\u0433\u043e\u0435 \u0434\u0440\u0443\u0433\u043e\u0435;<\/p>\n<p><a href=\"http:\/\/sandsprite.com\/blogs\/index.php?uid=7&amp;pid=152\">scdbg.exe<\/a> \u2014 \u0434\u043b\u044f \u044d\u043c\u0443\u043b\u044f\u0446\u0438\u0438 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e shell \u043a\u043e\u0434\u0430;<\/p>\n<p><a href=\"https:\/\/lelinhtinh.github.io\/de4js\/\">De4js<\/a> \u2014 \u00abJavaScript Deobfuscator &amp; Unpacker\u00bb;<\/p>\n<p><a href=\"https:\/\/gchq.github.io\/CyberChef\/\">CyberChief<\/a>\u00a0 \u2014 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0434\u043b\u044f \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430.<\/p>\n<\/div>\n<\/details>\n<p><strong> <\/strong>   \u0418\u0442\u0430\u043a, \u043d\u0430\u0447\u043d\u0435\u043c. <\/p>\n<h2>\u0418\u0437\u0443\u0447\u0430\u0435\u043c \u0434\u0430\u043c\u043f \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0438\u0437 \u0437\u0430\u0434\u0430\u043d\u0438\u044f<\/h2>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0430\u0440\u0445\u0438\u0432\u0430 \u0438\u0437 <a href=\"https:\/\/cyberdefenders.org\/blueteam-ctf-challenges\/47\">GetPDF<\/a> \u043d\u0430 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u0441 \u0437\u0430\u0434\u0430\u043d\u0438\u0435\u043c, \u0432 \u043d\u0430\u0448\u0435\u043c \u0440\u0430\u0441\u043f\u043e\u0440\u044f\u0436\u0435\u043d\u0438\u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0434\u0430\u043c\u043f \u0442\u0440\u0430\u0444\u0438\u043a\u0430 lala.pcap. \u0417\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c \u0435\u0433\u043e \u0432 NetworkMiner. \u042d\u0442\u043e\u0442 \u0434\u0430\u043c\u043f \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0430\u043c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e URL paths, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0432\u043e\u0432\u043b\u0435\u0447\u0435\u043d\u044b \u0432 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442 \u2014 <strong>\u0438\u0445 6. <\/strong>\u0422\u0435\u043c \u0441\u0430\u043c\u044b\u043c \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043e\u0442\u0432\u0435\u0442 \u043d\u0430<strong> \u0412\u043e\u043f\u0440\u043e\u0441 1. How many URL path(s) are involved in this incident? <\/strong><\/p>\n<figure class=\"full-width\"><figcaption>URL paths<\/figcaption><\/figure>\n<p>\u0414\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0432\u0442\u043e\u0440\u043e\u0433\u043e \u0438 \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u043e\u0434\u0433\u0440\u0443\u0437\u0438\u0442\u044c lala.pcap \u0432 Wireshark \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f:<\/p>\n<p>1.\u00a0\u00a0\u00a0 \u0424\u0430\u0439\u043b \u2014> \u042d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u041e\u0431\u044a\u0435\u043a\u0442\u044b \u2014> HTTP (\u0432\u0441\u0435)<\/p>\n<figure class=\"full-width\"><figcaption>\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430<\/figcaption><\/figure>\n<p>2.\u00a0\u00a0\u00a0 \u041d\u0430\u0436\u0430\u0442\u044c \u041f\u041a\u041c \u043d\u0430 \u043f\u043e\u0442\u043e\u043a \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0432 \u043e\u043a\u043d\u0435 WireShark \u0441 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u043c http \u0438 \u0434\u0430\u043b\u0435\u0435 \u2014 \u00abFollow\u00bb<\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u043c\u044b \u0443\u0432\u0438\u0434\u0438\u043c GET \u2013 \u0437\u0430\u043f\u0440\u043e\u0441 \u0441 URL. \u0414\u0430\u043d\u043d\u044b\u0439 URL &#8212; \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 2.<\/strong> <strong>What is the URL which contains the JS code?<\/strong> \u0412 \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 JS code.<\/p>\n<figure class=\"full-width\"><figcaption>\u041f\u043e\u0442\u043e\u043a http,\u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u043c<\/figcaption><\/figure>\n<p>\u0427\u0442\u043e\u0431\u044b \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 3. What is the URL hidden in the JS code?,<\/strong> \u00a0\u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0440\u043e\u0434\u0435\u0431\u0430\u0436\u0438\u0442\u044c \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 JS \u043a\u043e\u0434, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0441\u043a\u0440\u044b\u0442\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0441\u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u043a\u043e\u0434 \u0432 de4js \u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043c \u0435\u0433\u043e \u043a \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u0432\u0438\u0434\u0443. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0432 \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043d\u044f\u0442\u044c, \u0447\u0442\u043e \u043f\u043e\u0441\u043b\u0435 \u043a\u043e\u0434\u0430 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0432 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u044e \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f ZeJexn. \u0422\u0435\u043f\u0435\u0440\u044c \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0432\u044b\u0432\u0435\u0434\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u044d\u0442\u043e\u0439 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u0438 alert(ZeJexn):<\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430<\/figcaption><\/figure>\n<p><strong>\u0412\u043e\u0442 \u043d\u0430\u0448\u0430 \u0441\u0441\u044b\u043b\u043a\u0430 \u0438 \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 \u0442\u0440\u0435\u0442\u0438\u0439 \u0432\u043e\u043f\u0440\u043e\u0441!<\/strong><\/p>\n<p>\u0412 <strong>\u0412\u043e\u043f\u0440\u043e\u0441\u0435 4. What is the MD5 hash of the PDF file contained in the packet? <\/strong>\u043c\u044b \u0434\u043e\u043b\u0436\u043d\u044b \u043f\u043e\u0441\u0447\u0438\u0442\u0430\u0442\u044c MD5 \u0425\u044d\u0448 \u043e\u0442 \u0440\u0430\u043d\u0435\u0435 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0447\u0435\u0440\u0435\u0437 Wireshark \u0444\u0430\u0439\u043b\u0430 fcexploit.pdf. \u042f \u0441\u0434\u0435\u043b\u0430\u044e \u044d\u0442\u043e \u0447\u0435\u0440\u0435\u0437 PowerShell:<\/p>\n<p><strong><em>Get-FileHash -Algorithm MD5 fcexploit.pdf<\/em><\/strong><\/p>\n<p>\u0418 \u043f\u043e\u043b\u0443\u0447\u0443 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0439 \u043d\u0430\u043c \u0445\u044d\u0448:<\/p>\n<figure class=\"full-width\"><figcaption>MD5 Hash \u0444\u0430\u0439\u043b\u0430 fcexploit.pdf<\/figcaption><\/figure>\n<h2>\u041f\u043e\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u0441\u044f \u0432 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0444\u0430\u0439\u043b\u0430 PDF \u0438 \u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435   <\/h2>\n<p>\u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442\u044c \u043a \u0430\u043d\u0430\u043b\u0438\u0437\u0443 PDF \u0444\u0430\u0439\u043b\u0430, \u043d\u0443\u0436\u043d\u043e \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0441\u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 \u0444\u0430\u0439\u043b\u043e\u0432 \u0442\u0430\u043a\u043e\u0433\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0430.<\/p>\n<p>\u0415\u0441\u043b\u0438 \u043a\u043e\u0440\u043e\u0442\u043a\u043e, PDF \u0444\u0430\u0439\u043b \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437:<\/p>\n<ul>\n<li>\n<p>\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 (<strong>Header<\/strong>);<\/p>\n<\/li>\n<li>\n<p>\u0442\u0435\u043b\u0430 (<strong>Body<\/strong>);<\/p>\n<\/li>\n<li>\n<p>\u0442\u0430\u0431\u043b\u0438\u0446\u044b \u043f\u0435\u0440\u0435\u043a\u0440\u0435\u0441\u0442\u043d\u044b\u0445 \u0441\u0441\u044b\u043b\u043e\u043a <strong>Cross-reference table<\/strong>;<\/p>\n<\/li>\n<li>\n<p>\u0438 \u0442\u0440\u0435\u0439\u043b\u0435\u0440\u0430.<\/p>\n<\/li>\n<\/ul>\n<figure class=\"\"><figcaption>\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 PDF<\/figcaption><\/figure>\n<p><strong>Header <\/strong>\u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0432\u0435\u0440\u0441\u0438\u0438 %PDF-1.3.% \u2014 \u0432 \u043d\u0430\u0448\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u043e \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 http \u043f\u043e\u0442\u043e\u043a\u0430 \u0432 \u0434\u0430\u043c\u043f\u0435 \u0447\u0435\u0440\u0435\u0437 Wireshark (\u043a\u0430\u043a \u0438 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430).<\/p>\n<p><strong>Body <\/strong>\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 objects (streams), \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b. <\/p>\n<p><strong>Cross-reference table<\/strong> \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0441 \u043a\u0430\u0436\u0434\u044b\u043c \u0438\u0437 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u0441\u044f \u0432 \u0442\u0435\u043b\u0435.<\/p>\n<p><strong>Trailer <\/strong>\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442, \u043a\u0430\u043a \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0431\u0443\u0434\u0443\u0442 \u0447\u0438\u0442\u0430\u0442\u044c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442, \u0442\u0430\u043a \u043a\u0430\u043a \u0447\u0442\u0435\u043d\u0438\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043a\u043e\u043d\u0446\u0430 (\u0438\u043c\u0435\u043d\u043d\u043e \u043e\u0442\u0441\u044e\u0434\u0430), \u0433\u0434\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u0442 <strong>Cross-reference table <\/strong>\u0438 \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043a \u043e\u0431\u044a\u0435\u043a\u0442\u0430\u043c \u043f\u043e \u0441\u0441\u044b\u043b\u043a\u0430\u043c \u0438\u0437 \u0442\u0430\u0431\u043b\u0438\u0446\u044b.<\/p>\n<p>\u041d\u0430\u043c \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043c\u0435\u0448\u0430\u0435\u0442 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0430\u0448\u0438 \u043d\u043e\u0432\u044b\u0435 <strong>Body, Cross-reference table, Trailer <\/strong>\u0432 \u043a\u043e\u043d\u0435\u0446 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430, \u043d\u0435\u0438\u0437\u043c\u0435\u043d\u043d\u044b\u043c \u043e\u0441\u0442\u0430\u043d\u0435\u0442\u0441\u044f \u043b\u0438\u0448\u044c <strong>Header.<\/strong><\/p>\n<p>\u0420\u0430\u0437\u043e\u0431\u0440\u0430\u0432\u0448\u0438\u0441\u044c \u0441 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043e\u0439 PDF \u0444\u0430\u0439\u043b\u0430, \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u0435\u0435 \u0438\u0437\u0443\u0447\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 <strong>Body<\/strong>. \u0417\u0434\u0435\u0441\u044c \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f <strong>\u043f\u043e\u0442\u043e\u043a\u0438 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432<\/strong> \u2014 \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0431\u0430\u0439\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043c\u043e\u0436\u0435\u0442 \u0438\u043c\u0435\u0442\u044c \u043d\u0435\u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440. \u0423 \u0432\u0441\u0435\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u0435\u0441\u0442\u044c \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u0441\u0441\u044b\u043b\u0430\u0442\u044c\u0441\u044f \u0434\u043b\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 PDF. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432 \u043d\u0430\u0448\u0435\u043c \u043a\u0435\u0439\u0441\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442 \u00ab\/JS 5 0 R\u00bb,\u00a0R \u2014 \u043e\u0442 reference. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043d\u0435\u0435 \u043c\u043e\u0436\u043d\u043e \u0443\u0437\u043d\u0430\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043a\u0430\u043a\u043e\u0433\u043e \u043e\u0431\u044a\u0435\u043a\u0442\u0430 \u0431\u0443\u0434\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043e \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u044d\u0442\u0430\u043f\u0435.<\/p>\n<p>\u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432 PDF \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u044b\u043c \u043f\u043e\u0442\u043e\u043a\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432 \u0441\u0445\u0435\u043c\u044b \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 (\/Filter), \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \/Filter [\/FlateDecode]. \u042d\u0442\u043e \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u0436\u0430\u0442\u0438\u044f zlib\/deflate\u2026.<\/p>\n<p>\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 PDF \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c <a href=\"https:\/\/resources.infosecinstitute.com\/topic\/pdf-file-format-basic-structure\/\">\u0437\u0434\u0435\u0441\u044c<\/a>.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c, \u043a\u043e\u0433\u0434\u0430 \u043c\u044b \u0438\u043c\u0435\u0435\u043c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 PDF-\u0444\u0430\u0439\u043b\u043e\u0432, \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u0438\u0437 \u043b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u043d\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f GetPDF. <\/p>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 5. How many object(s) are contained inside the PDF file?<\/strong> \u0427\u0442\u043e\u0431\u044b \u0443\u0437\u043d\u0430\u0442\u044c \u043e\u0442\u0432\u0435\u0442, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f pdfid \u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0445\u0441\u044f \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u0432 PDF \u0444\u0430\u0439\u043b\u0435 \u2013 <strong>\u0438\u0445 19.<\/strong> <\/p>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e obj != endobj \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0434\u0435\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d (malformed).<\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0432\u044b\u0432\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b pdfid.py<\/figcaption><\/figure>\n<p>\u041e\u0442\u0432\u0435\u0447\u0430\u044f \u043d\u0430<strong> \u0412\u043e\u043f\u0440\u043e\u0441 6. How many filtering schemes are used for the object streams?<\/strong>, \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0435\u0449\u0435 \u0440\u0430\u0437 \u043d\u0430 \u043d\u0430\u0448 http \u043f\u043e\u0442\u043e\u043a \u0432 Wireshark\u2019e. \u041c\u044b \u0443\u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u0434\u043b\u044f object streams (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, 10) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f <strong>4 \u0441\u0445\u0435\u043c\u044b<\/strong> \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438:<\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u0445\u0435\u043c\u044b \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0432 \u043f\u043e\u0442\u043e\u043a\u0435 \u0438\u0437 \u0434\u0430\u043c\u043f\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430<\/figcaption><\/figure>\n<p>\u041e\u0442\u0432\u0435\u0442\u043e\u043c \u043d\u0430 <strong>\u0412\u043e\u043f\u0440\u043e\u0441 7. What is the number of the \u2018object stream\u2019 that might contain malicious JS code?<\/strong> \u0441\u0442\u0430\u043d\u0435\u0442 \u0443\u0436\u0435 \u0440\u0430\u043d\u0435\u0435 \u0437\u043d\u0430\u043a\u043e\u043c\u0430\u044f \u0441\u0441\u044b\u043b\u043a\u0430 <strong>\u00ab\/JS 5 0 R\u00bb \u0438\u0437 4-\u0433\u043e object stream\u2019\u0430.<\/strong><\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0431\u044a\u0435\u043a\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 JS code<\/figcaption><\/figure>\n<h2>\u041d\u0435\u043c\u043d\u043e\u0433\u043e \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u043e\u0432<\/h2>\n<p>\u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u044c, \u044f \u0432\u044b\u0434\u0435\u0440\u043d\u0443 \u0434\u0430\u043c\u043f\u044b \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e pdfextract \u0438\u0437 Origami:<br \/> <strong><em>.\/pdfextract fcexploit.pdf<\/em><\/strong><\/p>\n<figure class=\"full-width\"><figcaption>\u042d\u043a\u0441\u043f\u043e\u0440\u0442 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 pdfextract<\/figcaption><\/figure>\n<p>\u0412 \u043f\u0435\u0440\u0432\u0443\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c \u043d\u0430\u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u0435\u0442 5-\u044b\u0439 \u043f\u043e\u0442\u043e\u043a, \u0432\u0435\u0434\u044c \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 JavaScript Code \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \/Action, \u0438\u0437-\u0437\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f JS Code \u0438\u0437 5 object stream\u2019a.<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u043e\u043d\u044f\u0442\u044c, \u0447\u0442\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445:    <\/p>\n<h2>\u201c____SSS\u201d &amp; \u201c$S \u201d    <\/h2>\n<p>\u041c\u044b \u0441 \u0432\u0430\u043c\u0438 \u0443\u0436\u0435 \u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u0447\u0442\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043a\u043e\u043d\u0446\u0430 (\u0441 Trailer\u2019\u0430), \u043f\u043e\u044d\u0442\u043e\u043c\u0443, \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 <strong><em>pdf-parser.py -v fcexploit.pdf<\/em><\/strong>  \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 pdf. <\/p>\n<p>\u0417\u0430\u0439\u0434\u044f \u0432 Trailer, \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c, \u0447\u0442\u043e \u0437\u0430\u043f\u0438\u0441\u044c \/Info \u0441\u0441\u044b\u043b\u0430\u0435\u0442\u0441\u044f \u043d\u0430 11 obj:<\/p>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u0415\u0441\u043b\u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 11 object, \u0442\u043e \u043c\u044b \u0443\u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c \/Title \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 10 obj, \u0430 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 10-\u0433\u043e \u043e\u0431\u044a\u0435\u043a\u0442\u0430 \u043f\u043e\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e $S. \u0422\u0430\u043a\u0436\u0435 \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e 11 obj \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u043e\u0442\u043e\u043a \u0431\u0430\u0439\u0442\u043e\u0432, \u043e\u0434\u043d\u0430\u043a\u043e, pdfextractor \u0435\u0433\u043e \u043d\u0435 \u0438\u0437\u0432\u043b\u0435\u043a. <\/p>\n<figure class=\"full-width\"><figcaption>\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 obj 11<\/figcaption><\/figure>\n<p>\u0412\u044b\u0445\u043e\u0434\u0438\u0442, \u0447\u0442\u043e \u0434\u0435\u043b\u043e \u0437\u0430 \u043c\u0430\u043b\u044b\u043c. \u0421\u043c\u043e\u0442\u0440\u0438\u043c, \u0447\u0442\u043e \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 stream_10.dmp (\u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u044b \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u043c \u0448\u0430\u0433\u0435).<\/p>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c, \u0447\u0442\u043e \u0421at stream_10.dmp \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435:<\/p>\n<p><strong><em>U_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab395fU_155bf62c9aU_7917ab3953U_1<\/em><\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-337185","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/337185","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=337185"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/337185\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=337185"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=337185"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=337185"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}