[发明专利]一种检测PDF漏洞的方法和装置

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种检测PDF漏洞的方法和装置。

【背景技术】

当前在网页挂马中，便携文件格式(PDF，Portable Document Format)的漏洞利用很广泛，处理PDF文件的方式让黑客执行程序代码，漏洞可能被黑客利用电子邮件、网络下载等方式传播病毒，例如把热门小说制作为PDF电子书，利用漏洞在其中植入病毒以专门攻击点击阅读PDF的用户电脑。根据Adobe提供的信息显示，黑客通过漏洞的攻击可能会导致目标系统的崩溃，或者会让黑客能够暂时获得控制目标电脑的最高权限。

但是目前基于PDF漏洞的检测方法很少，由于PDF文件结构有其自身的独特性，现有的文件漏洞检测方法不能有效地检测PDF漏洞。

【发明内容】

有鉴于此，本发明提供了一种检测PDF漏洞的方法和装置，以解决现有文件漏洞检测方法不能有效地检测PDF漏洞的问题。

具体技术方案如下：

一种检测PDF漏洞的方法，该方法包括：

获取待检测PDF文件；

静态检测步骤：对所述待检测PDF文件中满足预设可疑要求的关键字段进行统计分析，如果统计分析结果指示所述待检测PDF文件为可疑文件，则执行动态检测步骤；

动态检测步骤：判断所述待检测PDF文件中是否包含触发JavaScript执行的函数，如果是，则确定所述待检测PDF文件为恶意文件。

根据本发明一优选实施例，所述满足预设可疑要求的关键字段包括：

没有配对出现的关键字段obj和endobj；

没有配对出现的关键字段stream和endstream；

存在关键字段JS或Javascript；

存在关键字段AA、OpenAction或URI。

根据本发明一优选实施例，所述统计分析结果指示所述待检测PDF文件为可疑文件为：

满足预设可疑要求的关键字段的统计次数达到预设的可疑次数阈值。

根据本发明一优选实施例，所述静态检测步骤还包括：

判断所述待检测PDF文件中是否存在关键字段xref或trailer，如果否，则确定所述待检测PDF文件为安全文件；或者，

判断关键字段page的值是否大于预设的安全页码值，如果是，确定所述待检测PDF文件为安全文件；或者，

判断关键字段Colors是否大于或等于预设的恶意色彩值，如果是，确定所述待检测PDF文件为恶意文件；否则，确定所述待检测PDF文件为安全文件；或者，

判断所述待检测PDF文件中是否存在可执行文件的标识，如果是，则确定所述待检测PDF文件为恶意文件。

根据本发明一优选实施例，所述触发JavaScript执行的函数包括：用于解码的unescape函数、用于返回由参数中ASCII值所表示字符组成的字符串的String.fromCharCode函数或用于计算字符串并执行其中javascript代码的eval函数。

根据本发明一优选实施例，所述动态检测步骤具体包括：

B1、判断所述待检测PDF文件中是否包含unescape函数、String.fromCharCode函数或eval函数，如果包含unescape函数或String.fromCharCode函数，则确定所述待检测PDF文件为恶意文件；如果包含eval函数，则继续执行步骤B2；

B2、将所述eval函数转化为alert函数并执行，分析执行结果中是否包含可疑内容，如果是，则确定所述待检测PDF文件为恶意文件。

根据本发明一优选实施例，步骤B2中的所述可疑内容包括：collectEmailInfo函数、util.printf函数、getlcon函数、spell.customDictionaryOpen函数、getAnnots函数、newPlayer函数、Doc.printSeps函数或可执行文件的标识。

根据本发明一优选实施例，在所述动态检测步骤中，判断所述待检测PDF文件中是否包含触发JavaScript执行的函数之前还包括：

B0、判断所述待检测PDF文件是否加密，如果是，解析所述待检测PDF文件的加密方式，调用对应的解密算法对所述待检测PDF文件进行解密。