文章总结： 该文档介绍了使用pdfid和pdf-parser工具对恶意PDF文件进行取证分析的方法。通过pdfid检查xref、trailer、JS、OpenAction等关键字段判断潜在恶意性，结合pdf-parser进一步提取分析嵌入的恶意代码。文档最后提醒普通用户警惕钓鱼邮件，核实发件人身份，勿打开不明附件。 综合评分： 70 文章分类： 恶意软件,安全工具,应急响应

对恶意PDF文件的取证

原创

weiqin weiqin

大仙安全说

2026年2月25日 15:20 北京

点击蓝字，关注我们

关

注

免责声明

大仙安全说的技术文章仅供参考，此文所提供的信息只为网络安全人员进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他! ! !

01

pdfid工具

  使用 pdfid 分析 PDF 文件时，可通过以下关键词判断其潜在恶意性：

• xref 与 trailer：若文件中缺失这两个关键字段，通常可以判定该文件不是恶意 PDF。
• JS 与 JavaScript：这两项计数表明 PDF 中是否嵌入了 JavaScript 代码。由于恶意 PDF 常包含 JavaScript，它们是识别风险的重要依据。
• AA、OpenAction 与 AcroForm：这些字段代表在打开 PDF 时会自动执行 JavaScript 代码的动作，这类自动执行机制是恶意文件的常见特征。

02

pdf-parser工具

如果一个PDF文件中同时包含AA或OpenAction这类自动执行动作的字段，并且嵌入了JavaScript代码，那么该文件极有可能是恶意的。除了上述判断方法，还可以利用PDFParser工具进一步分析PDF中的恶意代码。

pdf-parser pdfxss.pdf

03

结语

告诫普通用户，请务必警惕钓鱼邮件的危害。收到邮件附件时，一定要先核实发件人身份，切勿打开来历不明的邮件。

添加好友注明来意

公众号丨大仙安全说

VX丨weiqin_6666

长按关注

《往期阅读》

使用 Sysmon 如何精准捕获“银狐”域名

使用 DNSQuerySniffer 揪出隐蔽钓鱼请求

整个网安圈子，谁还没用过TCPView

整个网安圈子，谁还没用过Procmon

整个网安圈子，谁还没用过PCHunter

整个网安圈子，谁还没用过Autoruns

求点赞

求分享

求喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大仙安全说 weiqin weiqin《对恶意PDF文件的取证》