【技术知识】恶意PDF文件分析-PDFdump的问题

时间:2021-01-11 14:48:17

1、提醒

 百度分析恶意PDF文件,很多都是推荐PDFdump。在某次沙箱产品分析出疑似高级威胁的PDF样本后,我使用PDFdump查看ShellCode的加密数据,分析后并没有找到相关的ShellCode。
 跟研发人员探讨后,发现PDFdump并没有将pdf文件中的数据完全进行解析。一些乱码状的数据在PDFdump找不到。而沙箱产品检测PDF的思路为打开PDF监测是否产生堆喷射的行为来判定是否为高级威胁。

这个事情作为一个提醒留在博客里,另外就是自己对PDF溢出漏洞调试没有了解过,要学习!

2、感悟与收获

技术发展很迅猛,产品很智能。人工存在的意义就是为了精确产品的结果与改进产品。

参考文章

  • 恶意PDF文件解析思路

https://wenku.baidu.com/view/0c05dd996529647d27285224.html