Анализ подозрительных PDF файлов / Comments / Habr

EiZeRR Jan 15 2014 at 11:00

Если бы все было так просто. На грамотном PDF все действия обломаются ещё на пункте парсинга, так как не существует нормального парсера pdf формата.

-5

Newbilius Jan 15 2014 at 12:55

А можете поподробнее про этот пункт?

EiZeRR Jan 15 2014 at 15:45

У PDF есть куча штук, которые позволяют обфусцировать. На деле парсить pdf — это тоже самое, что парсить исполняемые бинарники, все время можно что-то придумать для сокрытия.

Для анализа игрушечных уязвимостей описанный автором способ еще может прокатить.

The detection rate of PDF malware by current antivirus software is very low. A PDF ﬁle is easy to edit and
manipulate because it is a text format, providing a low barrier to malware authors. Analyzing PDF ﬁles for malware is
nonetheless difﬁcult because of a) the complexity of the formatting language, b) the parsing idiosyncrasies in Adobe
Reader, and c) undocumented correction techniques employed in Adobe Reader

-1

LukaSafonov Jan 15 2014 at 12:19

Еще материал по теме — Analyzing Malicious PDFs