PlatPal：利用平台多样性检测恶意文档

由于Adobe Reader的持续开发，恶意文档（maldoc）检测已成为一个紧迫的问题。尽管已经提出了许多解决方案，但最近的工作强调了一些常见的缺陷，例如语法混淆和分类器规避攻击。

为此，我们提出了一种新的maldoc检测视角：平台多样性。特别是，我们确定了操作系统设计和实现中可能导致攻击下行为差异的八个因素，从系统调用语义（更明显）到堆对象元数据结构（更微妙），并进一步展示了它们如何阻止攻击者发现错误、利用错误或执行恶意活动。

我们进一步原型P纬度P（P）美国铝业公司系统地获取平台多样性。P（P）拉丁美洲P（P）美国铝业公司钩住Adobe Reader以跟踪内部PDF处理，并使用沙盒执行来捕获maldoc对主机系统的影响。比较不同平台上的执行跟踪，maldoc检测基于以下观察结果：良性文档跨平台的行为相同，而maldoc在攻击期间的行为不同。评估表明P拉丁美洲P（P）美国铝业公司在良性样本中不会发出错误警报，检测恶意样本中的各种行为差异，是一种可扩展且实用的解决方案。