随着恶意PDF文件日益增多，人们对这种文档的恶意代码分析技术也越来越感兴趣。本文将教您如何分析一种特殊类型的恶意PDF文件：它们可以利用内嵌JavaScript解释器的安全漏洞。通过阅读本文，还有助于分析其他类型的恶意PDF文件，如利用PDF解析器内的安全漏洞的情形。虽然几乎所有的恶意PDF文档的攻击目标都是Windows操作系统，但是这里介绍的PDF语言是独立于操作系统的，它同时适用于在Windows、Linux和OSX上的PDF文档。

　　一、PDF中的Hello World

　　现在，我们从手工制作一个最简单的PDF文档开始入手，该文档只是在一个页面中显示文字Hello World而已。您很可能从未见过如此简陋的文档，但是它很适合于本文的需要，因为我们只对一个PDF文档的内部构造感兴趣。我们的文档仅仅包含显示一个页面所必需的最基本元素，如果您为该文件添加更多的格式的话，可读性会更好一些。该文档的特性之一是，只包含有一些ASCII字符，因此即使使用记事本这样最简单的编辑器，同样也能阅读它的内容。另一个特性是，其中含有大量(多余的)空格和缩排，这使得这个PDF的结构更加突出。最后一个特性是，其中的内容没有进行压缩处理。

　　二、头部

　　每个PDF文档必须以标明其为PDF文档的一行代码（即幻数）开头；它还规定了用于描述这个文档的PDF语言规范版本号：%PDF-1.1。

　　在一个PDF文档中，以符号%开头的行都是注释行，注释行的内容将被忽略，但是有两个例外：　

　　文档的开头：%PDF-X.Y　

　　文档的结尾：%%EOF

　　三、对象

　　在第一行之后，我们开始为我们的PDF文档添加对象，对象是PDF语言的基本元素。这些对象在文件中的出现顺序对页面显示时的布局没有任何影响。不过为简单起见，我们将按照逻辑顺序来介绍这些对象。需要注意的是，PDF语言是大小写敏感的。