1、提醒
百度分析恶意PDF文件,很多都是推荐PDFdump。在某次沙箱产品分析出疑似高级威胁的PDF样本后,我使用PDFdump查看ShellCode的加密数据,分析后并没有找到相关的ShellCode。
跟研发人员探讨后,发现PDFdump并没有将pdf文件中的数据完全进行解析。一些乱码状的数据在PDFdump找不到。而沙箱产品检测PDF的思路为打开PDF监测是否产生堆喷射的行为来判定是否为高级威胁。
这个事情作为一个提醒留在博客里,另外就是自己对PDF溢出漏洞调试没有了解过,要学习!
2、感悟与收获
技术发展很迅猛,产品很智能。人工存在的意义就是为了精确产品的结果与改进产品。
参考文章
- 恶意PDF文件解析思路