[发明专利]PDF中触发漏洞威胁的检测方法及装置

权利要求书

1.一种PDF中触发漏洞威胁的检测方法，其特征在于，包括：

解析PDF文件查看是否有第一预定文件或者直接第二预定文件嵌套，所述第一预定文件为XFA文件，所述第二预定文件为tiff文件，所述XFA文件为PDF文件中属于交互式PDF表单中的一种表单文件，所述tiff文件为以.tif，.tiff为扩展名的一种用来存储包括照片和艺术图在内的文件；

若有所述第一预定文件或者直接第二预定文件嵌套，则获取预定标签的属性，所述预定标签为DotRange，所述DotRange为tif文件格式中定义的一种标签文件；

其中，若有所述第一预定文件或者直接第二预定文件嵌套，则获取预定标签的属性，包括：若在PDF文件中有所述第一预定文件，则对所述第一预定文件中的第三预定文件或者第四预定文件进行解析，根据是否存在字节序问题解析出所述预定标签的属性；若在PDF文件中有所述直接第二预定文件嵌套，则对所述第二预定文件中的第四预定文件进行解析，根据是否存在字节序问题解析出所述预定标签的属性；

查看所述预定标签的属性，确定PDF阅读器读取PDF文件时是否会造成栈溢出，所述查看所述预定标签的属性具体为查看DotRange标签中tag、type、length、value/offset的值是否符合文件格式要求，所述tag为标签值，所述type为数据类型，所述length为数据长度，所述value/offset为数据偏移；

若会造成栈溢出，则发出报警信息，提示所述PDF文件存在cve-2010-0188漏洞的威胁。

2.根据权利要求1所述的方法，其特征在于，解析PDF文件查看是否有第一预定文件或者直接第二预定文件嵌套包括：

解析PDF文件获取所述PDF文件的文件格式信息；

从所述文件格式信息中查找所述第一预定文件或者直接第二预定文件嵌套。

3.根据权利要求1或2中任一项所述的方法，其特征在于，查看所述预定标签的属性，确定PDF阅读器读取PDF文件时是否会造成栈溢出包括：

查看所述预定标签的属性，确定所述预定标签的属性各字段的设置是否都符合预定的文件格式要求；

若符合要求，则查看所述预定标签的属性的长度值是否超过预定值；

若所述长度值超过预定值，则确定PDF阅读器读取PDF文件时会造成栈溢出。

4.根据权利要求3所述的方法，其特征在于，所述第三预定文件为img文件；所述第四预定文件为tif文件。

5.一种PDF中触发漏洞威胁的检测装置，其特征在于，包括：

解析识别单元，用于解析PDF文件查看是否有第一预定文件或者直接的直接第二预定文件嵌套，所述第一预定文件为XFA文件，所述第二预定文件为tiff文件，所述XFA文件为PDF文件中属于交互式PDF表单中的一种表单文件，所述tiff文件为以.tif，.tiff为扩展名的一种用来存储包括照片和艺术图在内的文件；

获取单元，用于在解析识别单元查找到有所述第一预定文件或者直接的直接第二预定文件嵌套时，获取预定标签的属性，所述预定标签为DotRange，所述DotRange为tif文件格式中定义的一种标签文件；

所述获取单元包括：第一解析模块，用于在PDF文件中有所述第一预定文件时，则对所述第一预定文件中的第三预定文件或者第四预定文件进行解析，根据是否存在字节序问题解析出所述预定标签的属性；第二解析模块，用于在PDF文件中有所述直接第二预定文件嵌套时，则对所述第二预定文件中的第四预定文件进行解析，根据是否存在字节序问题解析出所述预定标签的属性；

判断单元，用于查看所述预定标签的属性，确定PDF阅读器读取PDF文件时是否会造成栈溢出，所述查看所述预定标签的属性具体为查看DotRange标签中tag、type、length、value/offset的值是否符合文件格式要求，所述tag为标签值，所述type为数据类型，所述length为数据长度，所述value/offset为数据偏移；

输出单元，用于在判断单元确定会造成栈溢出时，发出报警信息，提示所述PDF文件存在cve-2010-0188漏洞的威胁。