PDF文件解析与PDF恶代分析中的一些坑

最新推荐文章于 2023-02-13 17:48:36 发布
VIP文章 最新推荐文章于 2023-02-13 17:48:36 发布
阅读量1.8k 收藏 2
点赞数 1
文章标签: javascript c# python ViewUI
原文链接:https://yq.aliyun.com/articles/245657
版权

一、简介

最近在做文档类的恶代检测,写个总结。

本篇文章负责介绍pdf文档的格式以及恶代分析中需要注意的问题以及相应工具推荐。希望能给各位做恶代分析时提供一些帮助。

后序会更新一些其他文档格式解析与恶代分析内容等,欢迎各位关注。

PDF文件解析与PDF恶代分析中的一些坑

二、PDF文件格式介绍

PDF(便携式文件格式,Portable Document Format)是由Adobe Systems于1993年基于文件交换所发展出的一种文件格式。Adobe公司素有“漏洞之王”的美誉,所以学习PDF文件格式对研究分析漏洞具有极大帮助。PDF格式较为复杂,本文以研究漏洞的目的分析PDF格式,探寻如何找出并分析PDF中存在的恶意代码,而并非做一个详细的PDF parser解析器,因此会省略对不相关关键字的介绍,请各位留意。

PDF的结构可以从文件结构和逻辑结构两个方面来理解。PDF的文件结构指的是其文件物理组织方式,逻辑结构则指的是其内容的逻辑组织方式。

1. PDF的文件结构

PDF文件格式包含以下4个部分:

  • 文件头——指明了该文件所遵从的PDF规范的版本号,它出现在PDF文件的第一行。
  • 文件体——又称对象集合,PDF文件的主要部分,由一系列对象组成。
  • 交叉引用表——对对象进行随机存取而设立的一个间接对象的地址索引表。(实际以偏移+索引的方式储存对象地址,下文会提及)
  • 文件尾——声明了交叉引用表的地址,即指明了文件体的根对象(Catalog),从而能够找到PDF文件中各个对象体的位置,达到随机访问。另外还保存了PDF文件的加密等安全信息。

2. PDF文件格式图示:

PDF文件的逻辑结构

3. PDF文件的逻辑结构

本段主要介绍PDF文件体的读取方式。

作为一种结构化的文件格式,一个PDF文档是由一些称为“对象”的模块组成的。每个对象都有数字标号,这样的话可以这些对象就可以被其他的对象所引用。这些对象不需要按照顺序出现在PDF文档里面,出现的顺序可以是任意的,比如一个PDF文件有3页,第3页可以出现在第1页以前,对象按照顺序出现唯一的好处就是能够增加文件的可读性,对象的信息以偏移+索引的形式保存在交叉引用表内。

文件尾说明了根对象的对象号,并且说明交叉引用表的位置,通过对交叉引用表的查询可以找到目录对象(Catalog)。这个目录对象是该PDF文档的根对象,包含PDF文档的大纲(outline)和页面组对象(pages)引用。大纲对象是指PDF文件的书签树;页面组对象(pages)包含该文件的页面数,各个页面对象(page)的对象号。

4. PDF的层级结构图示:

PDF的层级结构图示

页面(page)对象为PDF中最重要的对象,包含如何显示该页面的信息,例如使用的字体,包含的内容(文字,图片等),页面的大小。里面的信息可以直接给出,当然里面的子项更多的是对其他对象的引用,真正的信息存放在其他对象里面。页面中包含的信息是包含在一个称为流(stream)的对象里,这个流的长度(字节数)必须直接给出或指向另外一个对象(包含一个整数值,表明这个流的长度)。

可见stream流对象我们恶代分析需要获取的重点。

5. 页面信息图示:

页面信息图示

理解了上面的内容之后,我们可以得出针对恶代分析的PDF文件的大致解析思路:

针对恶代分析的PDF文件的大致解析思路

当然,也可以采取针对PDF层级结构的文档解析方式,见仁见智,因人而异。

三、以二进制文本解析Pdf文档结构

PDF文件是一种文本和二进制混排的格式,但是Adobe更愿意让人把它当成二进制的文件,所以,PDF文件可以直接拖入16进制编辑器中打开。前面我们介绍了PDF的文件结构以及逻辑结构,现在我们在16进制编辑器中打开PDF文件,更直白的展示PDF的关键字段以及文件结构。

 
 
    
  
  1. %PDF-1.6 #文件头+版本号,16进制读取文件0x25 0x50 0x44 0x46开头即证明是pdf文件 
    2. 
  
  2. %çóÏÓ    #下面就是很多的Object对象 
    3. 
  
  3. 2 0 obj  #Object对象,其中2是Obj顺序号,0是Obj的版本号,obj也是对象开始的标志 
    4. 
  
  4. <<       #<<>>之间为Object对象的字典内容,包含关键字 
    5. 
  
  5. [/ICCBased 3 0 R] 
    6. 
  
  6. >> 
    7. 
  
  7. Endobj   #Object结束关键字 
    8. 
  
  8. 7 0 obj 
    9. 
  
  9. << 
    10. 
  
  10. /Filter 
    11. 
  
  11. /FlateDecode   #流对象的压缩方式为/FlateDecode   
    12. 
  
  12. /Length 148    #流对象的长度 
    13. 
  
  13. >> 
    14. 
  
  14. Stream         #流对象 
    15. 
  
  15. #文件内容信息,注:此处为直观从而手动填写的 
    16. 
  
  16. Endstream      #流对象结束标志 
    17. 
  
  17. Endobj 
    18. 
  
  18. 8 0 obj 
    19. 
  
  19. << 
    20. 
  
  20. /Contents 7 0 R              #页面内容对象的对象号为7 
    21. 
  
  21. /MediaBox [0 0 595.2 841.68] #页面显示大小,以像素为单位 
    22. 
  
  22. /PageIndex 1 
    23. 
  
  23. /Parent 1 0 R               #其父对象号为1以及Pages对象 
    24. 
  
  24. /Resources                  #该页包含的资源 
    25. 
  
  25. <</Font <</F4 4 0 R >>      #字体的类型 
    26. 
  
  26. /Shading <<>> 
    27. 
  
  27. /XObject <<>>               #外部对象 
    28. 
  
  28. /ColorSpace <</CS1 2 0 R>>  
    29. 
  
  29. >> 
    30. 
  
  30. /Type /Page 
    31. 
  
  31. >> 
    32. 
  
  32. Endobj 
    33. 
 



                

        

        




    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  weixin_34378922
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
C#解析PDF文件

				
			

			

				

					01-20
				

			

		

		

			
				
 与此相关的项目定义了用来读取和解析PDF文件C#类. 为了测试这些类,附带的测试程序PdfFileAnalyzer让你可以去读取一个PDF文件分析它并展示和保存结果. 程序将PDF文件分割成单独每页的描述,字体,图片和其它...

			
		

	



                

              
                



	

		

			

				
					
PDF解析问题

				
			

			

				

					weixin_41029722的博客
				

				

					09-20
					
					1100
					
				

			

		

		

			
				
PDF解析问题
964 0 obj
<</Filter/FlateDecode/I 11686/L 11670/Length 5809/S 11360>>stream
…
endstream
endobj
其I,L和S怎么解析,只做FlateDecode解压缩不能得到结果,还是乱码?

...

			
		

	



                


  
              

                


	

		

			

				
					
zlib解压 被压缩的PDF(关键字FlateDecode)

				
			

			

				

					yangkunhenry的专栏
				

				

					12-04
					
					4659
					
				

			

		

		

			
				
PDF被压缩了,但从网上看这个压缩算法就是zlib的压缩算法,下面的乱码就是压缩导致的乱码,现在需要把这些乱码复原


%PDF-1.7
%溷弦
4 0 obj
<</Length 3 0 R/Filter/FlateDecode>>
stream
x渆QMK聾}&跉MIb郦Q鰳娵R刍??焱zR<
?|3狣B6?颿f?滕,鞃?珈毵辊纡拶迨鷚#Ef? B?]蔑...

			
		

	





	

		

			

				
					
恶意代码--pdf文件格式解析与恶意攻击脚本分享

				
			

			

				

					关注互联网安全的小虾米一枚
				

				

					10-18
					
					6370
					
				

			

		

		

			
				
0x01 pdf文件

 

至于整个格式adobe公司已经有相应的公开文档,同时网上的资料也很多都能查阅到。

 

比如文件格式 : 

 

http://www.2cto.com/Article/201011/77380.html

 

http://baike.baidu.com/link?url=xxI9mMNs28qKwpqJ0OX-fApWoubQH2hw9qq-GdvtYse9...

			
		

	



		

			
		



	

		

			

				
					
PDF之过滤器简介

				
			

			

				

					fxbjye的博客
				

				

					04-07
					
					1378
					
				

			

		

		

			
				
过滤器,在读取流数据时的一个选项是用过滤器对它进行解码,生成原始的未编码数据。流的一个或多个过滤器应由流字典的Filter条目指定,过滤器可以级联,通过依次执行两次或者多次编码转换形成传递流的管道。示例:/Filter [/ASCII85Decode /LAWDecode]。

标准过滤器包括:ASCIIHexDecode,ASCII85Decode,LZWDecode,FlateDecode,RunLengthDecode,CCITTFaxDecode,JBIG2Decode,DCTDecode,JPX

			
		

	





	

		

			

				
					
【转】相当精辟的PDF图像介绍

				
			

			

				

					shappy1978的专栏
				

				

					01-07
					
					565
					
				

			

		

		

			
				




http://www.comicer.com/stronghorse/water/software/pic2pdf.htm 向这位细心细致的大虾致敬
图像转PDF的问题、方法及题外话
作者:马健邮箱:[email protected]主页:http://stronghorse.yeah.net发布:2006.04.05更新:2006.11.21测试用例:用例1(一组各种格式的图...

			
		

	





	

		

			

				
					
java解析PDF文件

				
			

			

				

					01-24
				

			

		

		

			
				
java解析PDF格式的文件demo。JAVA实现PDF解析,对PDF文件的文本内容可输出仅供参考学习,不喜勿喷。

			
		

	





	

		

			

				
					
Python 3.6 使用pdfminer解析pdf文件的实现

				
			

			

				

					09-18
				

			

		

		

			
				
主要介绍了Python 3.6 使用pdfminer解析pdf文件的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

			
		

	





	

		

			

				
					
Java解析PDF文件源代码(代码有详细注释)

				
			

			

				

					10-20
				

			

		

		

			
				
Java解析PDF文件源代码(代码有详细注释),测试过,能够正常编译和运行。 Java解析PDF文件源代码(代码有详细注释),测试过,能够正常编译和运行。

			
		

	





	

		

			

				
					
PDF文件解析工具及说明文档

				
			

			

				

					02-13
				

			

		

		

			
				
用于pdf解析,包含SpirePDF PDFBOX

			
		

	





	

		

			

				
					
恶意代码分析实战——分析恶意pdf文件

				
			

			

				

					aming小老弟
				

				

					01-27
					
					2453
					
				

			

		

		

			
				
QQ 1274510382
Wechat JNZ_aming
商业联盟  QQ群538250800
技术搞事   QQ群599020441
解决方案   QQ群152889761
加入我们   QQ群649347320
共享学习   QQ群674240731
纪年科技aming
网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。
叮叮叮:产品已上线 —>关注  官方-微信公众号——济南纪年信息科技有限公司
民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/
安全项目:态势感..

			
		

	





	

		

			

				
					
.NET 如何解析PDF 文件

				
			

			

				

					weixin_42588672的博客
				

				

					02-13
					
					581
					
				

			

		

		

			
				
.NET 可以使用第三方库,如 iTextSharp 来解析 PDF 文件。iTextSharp 是一个开源的 PDF 库,可以在 .NET 方便地读取、生成和编辑 PDF 文件。你可以通过 NuGet 包管理器安装 iTextSharp,然后使用它的 API 在 .NET 操作 PDF 文件。
示例代码:
using iTextSharp.text.pdf;
using iTextSharp...

			
		

	





	

		

			

				
					
多个PDF文件PDF数据流的合并

				
			

			

				

					huofuman960209的博客
				

				

					04-16
					
					6188
					
				

			

		

		

			
				
背景
	公司因人员变动和业务整改,提出将原打印(数据库保存的HTML字符串做替换)全部迁移至framework(利用framework完成数据字段替换与EL表达式相似,转换成PDF的二进制流返回),主要是为了方便开发和维护,对应单个的打印文件的预览都没有问题,后期提出新需求,需要勾选多个预览文件时,在一个弹框里面看到所有的pdf文件,就是一个接着一个的长pdf。
	特别说明:所有打印文件的模板(f...

			
		

	





	

		

			

				
					
CMake入门学习+实战<四> 使用外部共享库和头文件+实战:使用CLion调用zlib静态库实现pdf flatedecode解码

				
			

			

				

					enaxM的博客
				

				

					06-27
					
					3934
					
				

			

		

		

			
				
文章整合自:

CMake Practice

http://sewm.pku.edu.cn/src/paradise/reference/CMake%20Practice.pdf


CMake 官方文档

https://cmake.org/cmake/help/latest/


以及其他网络资料

目标:

代码移植

静动态库编译调用

文章为CM

			
		

	





	

		

			

				
					
PDF文件解析大法

				
			

			

				

					编程界小学生的博客
				

				

					02-13
					
					1147
					
				

			

		

		

			
				
pdf 解析的开源代码较多,一般常用的 spirePdfpdfbox 等。下面就对这两种类解析方式的demo附上,以便温故而知新~

			
		

	





	

		

			

				
					
PDF文件的图片提取

				
			

			

				

					lacoucou的专栏
				

				

					04-23
					
					1251
					
				

			

		

		

			
				
pdf保存的文件有两种,1种直接是把原图片的数据复制进文档,另外一种是经过压缩的图片,这种图片的提取并非只是简单的解压缩就能解决的。

1.直接保存图片格式的



例如上图的例子,直接可以看到JFIF头,这种直接把 stream 和endstream间的内容保存下来,去掉头尾的0xa 就可以看到图片了。

2.压缩图片



像这样的图片如果仅仅是解压缩:



解压缩之后会是像下边这样的数据,



这个数据保存之后是没办法看到图片的。

原因:http://itext.2136553.n4..

			
		

	





	

		

			

				
					
PDF解析

				
			

			

				

					北落师门XY的博客
				

				

					03-28
					
					6918
					
				

			

		

		

			
				
PDF是一种查看方便但解析起来非常不方便的工具,不理解为什么到现在还没对这个问题从源头优化一下。对PDF文件解析,一般分成对pdf文本等内容的解析、将pdf转化成图像再解析这两种。

一、pdf 解析文本

    公认比较好用的pip库是pdfplumber,此外fitz也可以,经费够可以调pdflux这种服务商。fitz仅处理文本,pdfplumber还可以处理表格。

1.1 pdfplumber解析文本

    PDFPlumber是基于 PDFMiner 构建...

			
		

	





	

		

			

				
					
C++ 解析PDF文件(含代码)

				
			

			

				

					qq_46664080的博客
				

				

					11-23
					
					4349
					
				

			

		

		

			
				
1、找到startxref 的值。
2、根据startxref 的值找到 交叉引用表(xref),并将其条目保存在文件xref_data.txt文件。
3、根据找到的交叉引用表(xref)条目,找到obj,并将其字典保存在obj_data.txt文件

			
		

	





	

		

			

				
					
c++实现pdf文件解析

					
最新发布

				
			

			

				

					08-12
				

			

		

		

			
				
回答: 在C语言实现PDF文件解析的过程可以包括以下几个步骤:

1. 首先,需要定义一些辅助函数,比如用于判断对象类型的函数。其,引用给出的示例代码是一个判断是否为图像对象的函数,而引用给出的示例代码是一个判断是否为字体描述符对象的函数。

2. 接下来,需要定义保存字体的函数。其,引用给出的示例代码是一个保存字体的函数,其包括了一些用于处理字体数据的变量和操作,比如定义一个缓冲区用于保存字体数据。

3. 在解析PDF文件之前,需要打开文件并读取其内容。可以使用C语言文件操作函数来实现这一步骤。

4. 接下来,需要解析PDF文件的结构。这包括解析PDF的头部信息、交叉引用表和对象流等。可以使用C语言的字符串处理函数和正则表达式来实现这一步骤。

5. 解析文件结构后,需要提取所需的数据,比如文本、图像和字体等。可以使用前面定义的辅助函数来判断对象类型,并使用相应的函数来提取数据。

6. 最后,需要进行清理工作,比如释放内存和关闭文件等。

需要注意的是,以上只是一个大致的框架,具体的实现可能会因为不同的PDF文件格式和解析需求而有所不同。在实际的开发,还需要考虑异常处理、内存管理和性能优化等方面的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
-  *1* *2* *3* [c++ mupdf 提取pdf文件里面图片](https://blog.csdn.net/u011269801/article/details/123951280)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值