He estado analizando un PDF
que sospecho que contiene contenido malicioso. En su mayor parte, siempre he confiado en las herramientas automatizadas para determinar si era seguro abrir un PDF. Sin embargo, mis ojos se han abierto a todas las técnicas de encriptación y ofuscación en Lo salvaje hoy. Así que comencé a revisar mis archivos PDF manualmente usando herramientas como estos y PDFStreamDumper . He consultado las especificaciones de PDF que se encuentran en aquí .
Por todas partes que veo, nadie parece explicar el propósito de las directivas /<Abbreviation>
. Por ejemplo, el extracto encontrado en el encabezado.
No puedo encontrar lo que /JT
hace referencia. O por qué el /GoTo
no especifica una ubicación.
El segundo objeto especifica /Cn
y /V
pero tampoco puedo encontrarlos.
El tercer objeto /Dt
y /JTM
, no tienen ninguna referencia en la especificación de PDF. ¿Puede alguien darme alguna dirección? Estoy dispuesto a hacer la investigación, pero no estoy seguro de lo que estoy viendo, además de los comandos abreviados contenidos en un objeto. ¿Hay una hoja de trucos con estas directivas enumeradas y su propósito?
Header
<<
/JT 2 0 R
/OpenAction
<<
/D [ 9 0 R /Fit ]
/S /GoTo
>>
/Outlines 8683 0 R
/PageLabels 8875 0 R
/PageLayout /SinglePage
/PageMode /UseOutlines
/Pages 5437 0 R
/Type /Catalog
>>
Segundo objeto
<<
/A [ 3 0 R ]
/Cn [ 4 0 R ]
/V 1.1
>>
Tercer objeto
<<
/Dt (D:20101223094432)
/JTM (Distiller)
>>
Nota: ejecuté el archivo a través de Total de virus con solo unas pocas banderas rojas. se ajusta a las especificaciones 1.7.