如何检测恶意fb2 & epub文件？

Question

fb2 & epub文件可以像pdf那样是恶意的吗？如果是的话，那我怎么能手动检测到呢？

通过OLETOOLS可以检测到恶意RTF、doc、docx、xls、ppt文件。恶意PDF文件通过peepdf，pdfid和其他。

Answer 1

EPUB是什么？

EPUB是一种电子图书文件格式，其扩展名为.epub，可在智能手机、平板电脑、计算机或电子阅读器等设备上下载和读取。

文件可以包含恶意代码吗？

是的可以。(你可以读到这个- https://www.baldurbjarnason.com/notes/epub-javascript-security/)

下面是epub过去存在安全缺陷的另一个例子：XML外部实体

是恶意软件作者？

经常使用的epub文件。

不是的。与PDF和其他格式相比，攻击者很少使用epub格式。

如果您想手动检测可疑内容(即JavaScript)，可以从任何十六进制编辑器开始，如果需要，可以编写自己的yara规则。当然，如果JavaScript存在，这并不意味着它必须是恶意的，但它可以是一个进一步调查的主题。

在文件头中搜索：

6D 69 6D 65 74 79 70 65 61 70 70 6C 69 63 61 74 69 6F 6E 2F 65 70 75 62

mimetypeapplication/epub

或者：

74 65 78 74 2f 6a 61 76 61 73 63 72 69 70 74

text/javascript

关于epub/epub2和epub3 go - http://epubzone.org/news/epub-3-and-interactivity的更多信息