我想分析一个PDF文件中使用的通过/FlateDecode
编码的流对象。
是否有任何工具可以解码PDF中使用的这种编码(例如ASCII85decode、LZWDecode、RunlenghtDecode等)?
流内容很可能是PE文件结构,PDF可能会在后续的攻击中使用它。
另外,PDF中有两个xref
表,这是可以的,但是在xref
之后还有两个%%EOF。
这些存在是否正常?(注意:第二个xref
使用/prev
名称指向第一个xref
。)
此xref
指向第二个xref
:
xref 5 6 0000000618 00000 n 0000000658 00000 n 0000000701 00000 n 0000000798 00000 n 0000045112 00000 n 0000045219 00000 n 1 1 0000045753 00000 n 3 1 0000045838 00000 n trailer > startxref 46090 %%EOF
第二个xref
:
xref 0 5 0000000000 65535 f 0000000010 00000 n 0000000067 00000 n 0000000136 00000 n 0000000373 00000 n trailer > startxref 429 %%EOF