[发明专利]一种检测PDF漏洞的方法和装置

权利要求书

1.一种检测PDF漏洞的方法，其特征在于，该方法包括：

获取待检测PDF文件；

静态检测步骤：对所述待检测PDF文件中满足预设可疑要求的关键字段进行统计分析，如果统计分析结果指示所述待检测PDF文件为可疑文件，则执行动态检测步骤；

动态检测步骤：判断所述待检测PDF文件中是否包含触发JavaScript执行的函数，如果是，则确定所述待检测PDF文件为恶意文件。

2.根据权利要求1所述的方法，其特征在于，所述满足预设可疑要求的关键字段包括以下所列的至少一种：

没有配对出现的关键字段obj和endobj；

没有配对出现的关键字段stream和endstream；

存在关键字段JS或Javascript；

存在关键字段AA、OpenAction或URI。

3.根据权利要求1或2所述的方法，其特征在于，所述统计分析结果指示所述待检测PDF文件为可疑文件为：

满足预设可疑要求的关键字段的统计次数达到预设的可疑次数阈值。

4.根据权利要求1或2所述的方法，其特征在于，所述静态检测步骤还包括：

判断所述待检测PDF文件中是否存在关键字段xref或trailer，如果否，则确定所述待检测PDF文件为安全文件；或者，

判断关键字段page的值是否大于预设的安全页码值，如果是，确定所述待检测PDF文件为安全文件；或者，

判断关键字段Colors是否大于或等于预设的恶意色彩值，如果是，确定所述待检测PDF文件为恶意文件；否则，确定所述待检测PDF文件为安全文件；或者，

判断所述待检测PDF文件中是否存在可执行文件的标识，如果是，则确定所述待检测PDF文件为恶意文件。

5.根据权利要求1所述的方法，其特征在于，所述触发JavaScript执行的函数包括：用于解码的unescape函数、用于返回由参数中ASCII值所表示字符组成的字符串的String.fromCharCode函数或用于计算字符串并执行其中javascript代码的eval函数。

6.根据权利要求5所述的方法，其特征在于，所述动态检测步骤具体包括：

B1、判断所述待检测PDF文件中是否包含unescape函数、String.fromCharCode函数或eval函数，如果包含unescape函数或String.fromCharCode函数，则确定所述待检测PDF文件为恶意文件；如果包含eval函数，则继续执行步骤B2；

B2、将所述eval函数转化为alert函数并执行，分析执行结果中是否包含可疑内容，如果是，则确定所述待检测PDF文件为恶意文件。

7.根据权利要求6所述的方法，其特征在于，步骤B2中的所述可疑内容包括：collectEmailInfo函数、util.printf函数、getlcon函数、spell.customDictionaryOpen函数、getAnnots函数、newPlayer函数、Doc.printSeps函数或可执行文件的标识。

8.根据权利要求1或5所述的方法，其特征在于，在所述动态检测步骤中，判断所述待检测PDF文件中是否包含触发JavaScript执行的函数之前还包括：

B0、判断所述待检测PDF文件是否加密，如果是，解析所述待检测PDF文件的加密方式，调用对应的解密算法对所述待检测PDF文件进行解密。

9.根据权利要求8所述的方法，其特征在于，判断所述待检测PDF文件是否加密具体包括：如果所述待检测PDF文件中包含关键字段encrypt，或者，所述待检测PDF文件所包含的对象中指示有加密方式，则确定所述待检测PDF文件被加密；

解析所述待检测PDF文件的加密方式具体为：解析所述待检测PDF文件所包含的对象中指示的加密方式。