5月24日，2017年中國網絡安全年會在青島正式開幕。來自騰訊、華為、浪潮、東軟等十數家安全廠商的專家、研究人員云集為網絡安全建言獻策。受近期“WannaCry”病毒危及用戶文檔的影響，來自騰訊安全聯合實驗室玄武實驗室的技術專家劉科，在安全工匠分論壇上專門針對當下使用極為普遍的PDF文檔軟件的漏洞挖掘實踐進行了主題演講。

　　據悉，騰訊安全聯合實驗室玄武實驗室自2015年12月啟動PDF漏洞研究以來，一年時間內發現并向軟件廠商報告了122個漏洞，涵蓋Adobe Acrobat and Reader、Foxit Reader、 Microsoft Edge、Google Chrome和OS X Preview、Adobe Digital Editions等主流閱讀器和瀏覽器。

　　劉科介紹稱，PDF作為一種用戶和企業經常使用的文件格式，有著繁瑣復雜的代碼文檔和字體圖片等豐富多樣的特性，與近期被黑客利用的Office漏洞一樣，文件格式往往具有跨平臺的特點，一旦文件格式存在安全漏洞，不管目標主機是Windows還是Linux系統都可輕易被攻破。由于這一特性，使得文件格式漏洞攻擊越來越受黑客的青睞，若存在文件格式漏洞并被惡意利用，受影響的用戶眾多，危害性極大。因此，深入分析和研究PDF文件格式漏洞具有非常重要的意義。

　　劉科在現場對騰訊安全聯合實驗室玄武實驗室團隊挖掘PDF漏洞過程中，從尋找PDF攻擊面到獲取測試樣本，以及最終展開PDF漏洞挖掘的技巧和經驗進行了深度分享。

　　期間，針對測試樣本，劉科給出了三點建議：

　　一、更多的測試樣本意味著更高的代碼覆蓋度，而更高的代碼覆蓋度意味著可以發現更多的Crash;

　　二、不要輕易浪費測試樣本，可以使用 AFL / libFuzzer 對開源庫進行 Fuzz，并使用生成的測試樣本來測試閉源的二進制文件。

　　三、復用開源項目的測試集，流行的開源項目通常會維護一個測試集，其中有大量的測試樣本(包括合法和非法的樣本文件)

　　而作為外界重點關注的漏洞挖掘技巧分享環節，劉科則在現場向大家作了重點闡述和案例分析：

　　一、通過編寫 PDF 轉換器，將文件或者數據轉換為 PDF 文件，可以實現只變異感興趣的文件格式或者數據。需要注意的是，使用第三方的 PDF 庫，可控性略差，可能丟失部分測試用例，而自己動手編寫的轉換器，則完全自主可控，二者可以根據實踐環境擇優使用。

　　二、檢查是否使用了開源或閉源的第三方庫，根據情況對Fuzz 第三方庫進行有效利用。在實踐過程中發現，使用 AFL / libFuzzer Fuzz 開源庫更加高效，即使閉源，單獨 Fuzz 庫文件也會更加高效。但需要注意的是，第三方庫會受到0Day漏洞影響，可能還會受到已知漏洞影響，在利用時需要注意。

　　針對這項實踐技巧，劉科利用LibTIFF案例來做了進一步更加深入的闡述。通過Fuzz第三方庫挖掘CVE-2016-5875 LibTIFF PixarLogDecode漏洞的過程中，四款PDF閱讀器中僅有Adobe Reader DC未受影響。

　　三、不要直接 Fuzz 龐大的 PDF 閱讀器 / 瀏覽器;反復的創建進程會耗費大量時間，會使得加載大量不必要的庫文件，以及進行大量不必要的初始化操作。在實踐過程中，騰訊安全聯合實驗室玄武實驗室發現，GUI可能也是不必要的，但這個要根據具體情況來操作。

　　四、在編寫包裝程序(Wrapper)的過程中，建議忽略無關的操作，只關注感興趣的部分。同時，劉科還分享了有利于程序編寫的資源庫及方法，開源軟件推薦PDFium 的 libFuzzer 模塊，Foxit Reader提供SDK，Windows PDF Library提供API，Adobe Acrobat Reader可以通過逆向分析找到接口函數。

　　針對近期爆發的針對Office文件的“WannaCry”勒索病毒，劉科表示，早在今年3月，微軟就已經發布補丁，但由于多數用戶未及時升級電腦，因此極易遭受攻擊。這在進一步反映出用戶對于網絡安全的危機意識的薄弱狀態之外，也提醒安全廠商，在攻擊多樣化的今天，研究人員需要繼續與時間賽跑，搶在黑客之前挖掘并向廠商報告漏洞。

　　據悉，此次“WannaCry”病毒爆發后，騰訊安全就迅速組織人力，開發出包括勒索病毒離線版免疫工具、文檔守護者工具、文件恢復工具在內的安全工具，第一時間遏制了病毒危害。

　　劉科在演講中提醒還公眾注意，黑客在尋找漏洞的過程中，永遠都是由面到點，層層挖掘，任何一個漏洞都可能造成用戶的損失，在網絡安全形勢日趨嚴峻的今天，企業和用戶再不能抱著過去“離我還很遠”的心態來應對。