深入浅出实战攻防恶意PDF文档

核心提示： endobj2 0 obj/Type /Outlines/Count 0endobj3 0 obj/Type /Pages/Kids [4 0 R]/Count 1endobj4 0 obj/Type /Page/Parent 3 0 R/MediaBox [0 0 612 792]/Co

endobj

2 0 obj

/Type /Outlines　/Count 0

endobj

3 0 obj

/Type /Pages　/Kids [4 0 R]　/Count 1

endobj

4 0 obj

/Type /Page　/Parent 3 0 R　/MediaBox [0 0 612 792]　/Contents 5 0 R

/Resources <<　　　　　　　　　　　　

/ProcSet [/PDF /Text]　　　　　　　　　　　　

/Font << /F1 6 0 R >>

endobj

5 0 obj

/Length 43 >>

stream

BT /F1 24 Tf 100 700 Td (Hello World) Tj ET

endstream

endobj

6 0 obj

/Type /Font　/

Subtype /Type1　

/Name /F1　

/BaseFont /Helvetica　

/Encoding /MacRomanEncoding

endobj

xref

0 7

0000000000 65535 f

0000000012 00000 n

0000000089 00000 n

0000000145 00000 n

0000000214 00000 n

0000000419 00000 n

0000000520 00000 n

trailer

/Size 7　/Root 1 0 R

startxref

644

%%EOF

清单 1　 完整的PDF文档页面内容

六、添加有效载荷

因为我们想要分析带有JavaScript有效载荷的恶意PDF文档，因此需要了解如何添加JavaScript代码并设法使其运行。PDF语言支持为事件关联相应的动作。举例来说，当某个页面被查看的时候，可以执行相应的动作(例如 访问一个网站)。我们感兴趣的是在打开一个PDF文档的时候执行某个动作。通过为catalog对象添加一个/OpenAction键，我们可以让PDF文档在打开时无需人工介入就执行某个动作。

1　0　obj

/Type　/Catalog

/Outlines　2　0　R

/Pages　3　0　R

/OpenAction　7　0　R

endobj