injecting/embedding PDF 文件中的代码?
injecting/embedding code in a PDF file?
是否可以将 exe 与 PDF 合并,以便在打开该 PDF 时,exe 运行并给出消息 Hello World!
我可以编辑 PDF 结构,并将我的 exe 或我的代码合并到 PDF 结构的对象部分吗?
Here is the image of the PDF document structure
如果可能的话,那将是一个严重的安全漏洞;作为用户,您每次查看 PDF 时都可能冒着感染恶意软件的风险!
您可以使用/Type /EmbeddedFile将文件附加到PDF文件中;请参阅 PDF specification 的第 7.11.4 节。但是,这个文件只有在用户解压并运行时才会执行。
您还可以将 JavaScript 代码添加到您的文档中;参见§12.6.4.16。但是,此代码在沙箱中运行。
好吧,George 所说的并不完全正确,合法使用标准和软件是不可能的,从 hacky 的角度来看,运行 文件中的代码实际上是可能的,因为PDF 是男人创造的格式,reader 也是男人创造的格式,因此,它很容易受到攻击(不存在无懈可击的软件)。
在这种情况下,您必须在格式本身(走出沙箱)或需要显示的工具中找到漏洞(Adobe reader、Google Chrome PDF 查看器等),以便您可以在打开文件后在机器上执行任意代码。
这为您提供了数十个库、代码片段、软件和标准,并且可以使用,相信我,某处有一个漏洞。
今天,没有这样的漏洞(我们不知道),但这并不意味着它不存在,它只是 discovered/reported 还没有。
作为临时解决方案,并且知道如果你假装使用它们来分发恶意软件是非法的,你可以 camuflate your binary 使用 PDF 图标并使用扩展名,这样你就可以做到检测不到致非技术 windows 用户。
是否可以将 exe 与 PDF 合并,以便在打开该 PDF 时,exe 运行并给出消息 Hello World! 我可以编辑 PDF 结构,并将我的 exe 或我的代码合并到 PDF 结构的对象部分吗?
Here is the image of the PDF document structure
如果可能的话,那将是一个严重的安全漏洞;作为用户,您每次查看 PDF 时都可能冒着感染恶意软件的风险!
您可以使用/Type /EmbeddedFile将文件附加到PDF文件中;请参阅 PDF specification 的第 7.11.4 节。但是,这个文件只有在用户解压并运行时才会执行。
您还可以将 JavaScript 代码添加到您的文档中;参见§12.6.4.16。但是,此代码在沙箱中运行。
好吧,George 所说的并不完全正确,合法使用标准和软件是不可能的,从 hacky 的角度来看,运行 文件中的代码实际上是可能的,因为PDF 是男人创造的格式,reader 也是男人创造的格式,因此,它很容易受到攻击(不存在无懈可击的软件)。
在这种情况下,您必须在格式本身(走出沙箱)或需要显示的工具中找到漏洞(Adobe reader、Google Chrome PDF 查看器等),以便您可以在打开文件后在机器上执行任意代码。 这为您提供了数十个库、代码片段、软件和标准,并且可以使用,相信我,某处有一个漏洞。
今天,没有这样的漏洞(我们不知道),但这并不意味着它不存在,它只是 discovered/reported 还没有。
作为临时解决方案,并且知道如果你假装使用它们来分发恶意软件是非法的,你可以 camuflate your binary 使用 PDF 图标并使用扩展名,这样你就可以做到检测不到致非技术 windows 用户。