什么是处理传入的PDF文件加载的最安全方法，其中有些可能是恶意的？

#1 楼

我认为最安全的选择是使用Qubes OS及其内置的DisposableVMs功能和“转换为受信任的PDF”工具。

什么是Qubes OS？

Qubes是一个完全基于虚拟机的操作系统。您可以认为它好像您的计算机中有不同的隔离“计算机”。这样一来，您就可以将数字生活划分到不同的领域，从而拥有一台“计算机”，您只在其中处理与工作相关的工作；另一台“计算机”处于离线状态，并在其中存储密码数据库和PGP密钥，以及另一台专门用于不受信任的浏览的“计算机” ...可能性是无数的，唯一的限制是您的RAM和基本上可以同时加载多少台“计算机”。为了确保所有这些“计算机”彼此正确隔离，并且它们不会破坏您的主机（域0称为“ dom0”）从而控制您的所有计算机，Qubes使用Xen系统管理程序，[1 ]是许多主要托管服务提供商所依赖的同一软件，用于将网站和服务彼此隔离，例如Amazon EC2，IBM，Linode ...
另一个很酷的事情是，您的每台“计算机”都有一种特殊的颜色，可以在窗户的边框中反映出来。因此，您可以为不受信任的“计算机”选择红色，为工作“计算机”选择蓝色（请参见下面的示例图片）。因此，在实践中，查看您正在使用的域变得非常容易。因此，现在让我们说一些讨厌的恶意软件进入了您不受信任的虚拟机，那么它就无法破坏并感染可能包含敏感信息的其他虚拟机，除非它具有可以利用Xen中的漏洞破解dom0的漏洞（非常罕见），这大大提高了安全性的标准（在控制一切之前，只需要在您的计算机上部署恶意软件即可），它将保护您免受大多数攻击者的攻击，除了资源最丰富，最复杂的攻击者。

什么是DisposableVM？

另一个答案提到可以使用刻录机笔记本电脑。一次性虚拟机有点相同，除了不受物理限制：您可以无限地拥有许多一次性VM。只需单击一下，即可创建一个虚拟机。太酷了吧？ Qubes带有Thunderbird扩展名，可让您在DisposableVM中打开文件附件，因此可以非常满足您的需求。[2]



）

您所说的“转换为受信任的PDF”是什么？

假设您找到了一个有趣的文档，并且假设您有一个专门用于存储和打开文档的脱机虚拟机。当然，您可以将该文档直接发送到该VM，但是该文档仍然有可能是恶意的，并且可能尝试删除所有文件（这种行为在短期内不会引起注意） DisposableVM）。但您也可以将其转换为“受信任的PDF”。您将文件发送到其他VM，然后打开文件管理器，导航到文件目录，右键单击并选择“转换为受信任的PDF”，然后将文件发送回VM，在其中收集文档。但是它到底是做什么的呢？ “转换为受信任的PDF”工具将创建一个新的DisposableVM，将文件放在此处，然后通过解析器（在DisposableVM中运行）对其进行转换，该解析器基本上会获取每个像素的RGB值，而不会留下任何其他内容。这有点像在隔离的环境中打开PDF，然后如果需要的话可以“截屏”。如果回想一下，当我将10Mb PDF测试为400Mb PDF时，该文件显然变得更大了。您可以在此由安全研究人员和Qubes OS创造者Joanna Rutkowska撰写的博客中获得更多详细信息。[1]：Qubes OS团队正在努力使其能够支持其他虚拟机管理程序（例如KVM），以便您不仅可以选择在虚拟机上运行的不同系统，而且可以选择运行这些虚拟机的虚拟机管理程序。 2] ：您还另外需要配置一个选项，以便单击“在DispVM中打开”时生成的DisposableVM将脱机，以使它们无法获取您的IP地址。为此，请执行以下操作：“默认情况下，如果在未连接到Tor网关的VM内（通过Open in DispVM或Run in DispVM创建）DisposableVM，则新的DisposableVM可能会通过clearnet路由其流量。这是因为DisposableVM继承自“，可以通过以下方式为每个VM配置dispvm_netvm设置：” dispvm_netvm。“您需要将其设置为dom0 → Qubes VM Manager → VM Settings → Advanced → NetVM for DispVM，以便它不连接到任何网络VM且不会访问Internet。[3] ：编辑：该答案提到了Subgraph OS，希望当为Qubes创建Subgraph模板VM时，您可以将其与Qubes一起使用，从而使利用更加困难，并且由于集成了沙箱，它还需要另一个沙箱逃逸利用以及Xen入侵您的整个计算机。

#2 楼

最安全的可能是燃烧器设备。拿起便宜的笔记本电脑和移动互联网加密狗，用它下载文档，然后将所有内容手动复制到您的主计算机中（如果您特别担心，重新输入文字将是最安全的）。由于它不在您的网络上，因此即使它被感染也不应该引起问题，并且如果您发送了任何特别有害的恶意软件，则可以将其擦除或将其装箱。

如果您需要文件中的实际内容（例如嵌入式图像），一种选择是在刻录机设备上安装PDF打印驱动程序，并使用它打印传入的PDF文件-这将生成PDF输出，但是从理论上讲，只是视觉组件。打印机不需要脚本元素，因此可以放心地删除它们。请记住，当您提供PDF时，某些PDF打印机驱动程序会发现它们，并将其传递给未经修改的对象-在依赖它之前进行测试！获得干净的PDF后，将其通过电子邮件发送回自己，并在打开前在主机上使用病毒扫描程序进行检查。请注意，这并不能完全消除恶意软件传播的可能性，但应将机会降到最低。

#3 楼

因此，我尝试在“合理之地”中坚持这些关切。对于每个安全问题，都需要平衡安全性。安全。例如，您可以购买一台笔记本电脑，阅读从电子邮件提供商的网络邮件一侧加载的一个PDF，在“主计算机”上重新键入所需的任何内容，然后从新笔记本电脑重新开始破坏笔记本电脑。那将是非常安全的。也很昂贵，而且痛苦巨大。

回到“合理”的方法。

首先，使用Linux和最新的PDF阅读器。这样做确实减少了您的曝光。针对Linux编写的病毒没有针对Windows编写的病毒。仅此一点就可以保护您很多。在Linux上运行的病毒实施起来更加复杂。再次减少您的曝光。

接下来使用支持快照的虚拟机。这个想法是，您在虚拟机主机（例如VirtualBox）中设置Linux操作系统，然后将其全部设置为“快照”状态。

然后，您可以在虚拟机中完成所有“风险”工作。使用隔离选项，我不知道任何可以“逃脱”虚拟机并进入主机的病毒（这并不意味着它们不存在，只是意味着它更罕见，并且对于攻击者而言更加复杂） ）。

在一天结束或一天中的任何时间，如果您认为自己感染了病毒，则可以将计算机“还原”到以前的快照。快照后“发生”的所有更改和数据都将被撤消，包括任何工作，病毒等。

白天，只要您的虚拟机是独立存在的，您就可以打开PDF，使用ClamAV（或类似工具）对其进行扫描，复制和粘贴所需的内容或对PDF文件进行的所有操作。这意味着您不授予虚拟机访问主机的权限。您使用电子邮件之类的方式来传输文件。也许在主机和虚拟机之间使用FTP。什么，但不是直接集成。也不是保管箱。如果要传输文件，则只能在确定安全后再传输该文件。如果您使用的是Linux主机和Linux guest虚拟机，那么scp是一个不错的选择。

这为您提供了一个“相当安全”的一次性环境，可以检查出可疑的PDF，并具有“撤消”可能发生的损坏的能力，而无需真正改变工作流程。

虚拟机主机和来宾系统几乎可以是任何操作系统，包括Windows。请记住，如果您有Linux来宾和Windows主机，则Linux虚拟机可能甚至不会感染Windows计算机将感染的PDF中的病毒。无论使用哪种操作系统，都必须使用防病毒扫描程序进行扫描。

#4 楼

使用CubeOS和一次性VM是一种好方法。

其他一些选项（可以与CubeOS / DisVM结合使用）：

撤消PDF

为此，您可以使用ghostscript：

gs -dNOPAUSE -dBATCH -sDEVICE=tiffg4 \
  -dDownsampleMonoImages=false \
  -dDownsampleGrayImages=false \
  -dDownsampleColorImages=false \
  -r200 \
  -sOutputFile="$OUTFILE" -c .setpdfwrite -f "$FILE"
tiff2pdf -o "${OUTFILE%.*}.pdf" "$OUTFILE"

这对命令将把您的PDF呈现为图像，然后将该图像嵌入到PDF中。

检测可疑PDF

比利时InfoSec研究员Didier Stevens编写了出色的工具来检测恶意PDF文件。查找一个名为pdfid.py的文件。此工具分析PDF的内容以检测潜在的恶意文件。

基本上，包含JavaScript或自动打开URL的PDF应该被视为可疑。

保护您的工具

无论选择哪种选项，您的工具都可以成为威胁代理的目标。经常修补它们，并在可抛弃/隔离的环境中运行它们。

#5 楼

将所有PDF转换为更多“被动”格式-可能是TIFF或后记-可以在本地计算机或某些linux box / VM上以受限帐户批量进行。带有恶意软件/恶意软件的文件格式很少。任何针对流行PDF查看器的攻击都可能无法与脚本转换工具（主要基于ghostscript引擎）一起使用；受限制的帐户将不会使成功利用漏洞造成很大的损失。

在最新的linux机器上，普通用户帐户很难“破解”-但是请确保该机器没有不受管制的Internet访问，因为网络访问是最难控制。

如果泄露有效PDF的内容会带来可怕的后果，请确保在指定时间运行解释器的帐户一次只能访问一个PDF（例如将文件从另一个用户帐户复制到暂存位置，通过su / sudo（而不是sudo到root！）运行解释器，然后将结果文件拿走。冲洗，重复。 ：将原始文件远离任何设置为在资源管理器，电子邮件客户端或类似前端中预览文件的PC（尤其是Windows）！

#6 楼

根据您的威胁模型，甚至“刻录机”或虚拟机方法也可能不够。如果攻击者希望识别您的位置，或者即使垃圾邮件发送者想要验证您的电子邮件地址是否处于活动状态，那么在打开PDF电话回家后，您也可以看到。狡猾的PDF甚至可能包含蠕虫来感染其他计算机，尽管我从未在野外看到过这种情况。 。

#7 楼

我认为Qubes OS是一个不错的选择，但是您也应该研究Subgraph OS（注意：截至2017年2月2日，它仍处于Alpha版本，您可能应该等到更稳定的版本出来依靠它以增强安全性）。默认情况下，它附带带有经过Grsecurity / PaX加固的Linux内核，并且默认情况下，它具有围绕有风险的应用程序（如PDF阅读器（Evince））的沙箱。由于内核的强化，大多数针对PDF阅读器的攻击都将得到缓解。但是，如果它们成功了，那么攻击者仍将限于运行PDF的沙箱（Oz），


沙箱可阻止Evince访问计算机上的敏感文件，例如例如您的加密密钥，电子邮件，个人文档等。Evince只需要访问它正在读取的PDF和其他文件即可正常运行。


沙箱还限制攻击者可以执行的操作类型，例如限制应用程序（在用户空间中运行）可以要求内核（在内核空间中运行）执行诸如读取和写入文件之类的系统调用的系统调用，使用称为seccomp的Linux功能通过网络等进行通信。因此，例如，沙箱还可以防止PDF阅读器（Evince）连接到Internet，从而保护您免受想要获取IP地址来发现您的位置的攻击者的侵害。

您可以在此处获得有关如何在Subgraph OS中打开PDF文件的完整文档。

#8 楼

我建议仅下载和打开pdf的“隔离”设备。就是未连接到网络的其余部分。

然后打印（纸张不能传输恶意软件）。

之后，您可以对其进行扫描，然后在其中进行复印图像格式。在这种情况下，打印机也应隔离并仅连接到受污染的设备。扫描仪可以连接到网络的其余部分。

如果您想要更快的工作流程，可以将它们转换为图像，然后将它们发送给自己，如果您需要在其他地方查看它们，尽管您可以必须保证邮件没有以某种方式被感染。没有注入链接/图像/ javascript，文件格式也不可执行或pdf。

这意味着接收方只需要查看文本，而无需html或javascript。

#9 楼

使用firejail和xpdf可能是一个较弱的（用户级别）答案，也许是cpulimit： 。这些似乎可行，并且可能会禁用大多数功能：

firejail [...options...] xpdf suspicious.pdf

如果担心可疑PDF也是CPU占用大量资源，请在第一行前面添加：

firejail  --caps.drop=all  --machine-id  --net=none  --nonewprivs  \
          --memory-deny-write-execute --overlay-tmpfs  --seccomp \
          xpdf suspicious.pdf

这将进一步限制firejail及其子进程使用一个CPU的10％。

#10 楼

上面所有的答案似乎都是可行的，但是买一台真正便宜的笔记本电脑似乎很简单，它可以用作刻录机，卸下硬盘驱动器（因此很便宜），下载一个非永久性的os（Linux很棒！）在Thumbdrive（来自个人计算机）上，插入USB并配置启动顺序，访问电子邮件（从thumbdrive），下载pdf，禁用wifi连接（最好是物理方式），打开pdf，进行操作，终止所有不相关的进程（如果您需要重新连接）或重新启动，从而销毁所有可能已下载的病毒。我之所以要删除硬盘驱动器，是为了使病毒不会尝试将所有内容（包括其自身）保存到不受擦除影响的其他驱动器中。

#11 楼

我建议您购买一台便宜的Android手机（如今大约是50美元）并用它来打开文档。将您的文件发送到云端，然后将其下载到您的Android手机中。这样一来，您的计算机就可以免受恶意PDF的破坏，保持极为安全的状态。

#12 楼

打开沙箱中的文件。

如果被感染，则应将感染包含在内，并且可以重置此虚拟环境。

编辑：

沙箱是一个虚拟环境，您可以随意创建和删除它，就像虚拟桌面一样，您可以在其中进行任何操作，然后将其重置回初始阶段。只需重置即可。

例如Avast防病毒软件（收费版本）具有沙箱解决方案，可让您右键单击文件并将其在沙箱中打开。的解决方案，另一个例子是Sandboxie

编辑2：

删除了MD5建议，它不如Sandbox解决方案。

#13 楼

使用OpenBSD或FreeBSD，它们被设计为尽可能安全。他们也不需要太多的技术知识。使用docker容器处理PDF文件将非常安全。

#14 楼

只需使用Ubuntu Touch智能手机即可。与Android和Android不同，它不是很流行，因此寻找漏洞利用的人越来越少。因此，被恶意PDF利用的可能性较低。不只是Ubuntu Touch，您还可以使用任何不流行的移动操作系统。