0x00

逛github的时候发现了这么一个项目"Dangerzone"，这个项目很有意思，他可以将任何存在潜在安全危险的文档、PDF、图片转换为一个安全的PDF，从而可以安全的查看文件内容。

这个工具使用场景还是挺广泛的，比如你收到一封公司邮件，里面带有一个doc文档，那这可能是一个钓鱼邮件，这个文档打开你就G了。又或者是收到了别人给你发的图片或文档，也一样是存在风险的。

不要打开任何邮件的附件，这应该是我们听到很多的一个安全建议，它确实没毛病。但是，对于很多人来说，要做到也很难。

如果你是一个销售，当你收到某公司的一封邮件，内容是“XXX合同意向书”，你真的可以毫不犹豫地删除邮件吗？我觉得很大的可能是想要看一下邮件的内容，万一是真的呢？那这时候就可以用这个工具来打开文档，就可以安全的查看文档内容咯~

0x01

它的实现也挺有意思，它会通过几个步骤将一个可能存在风险的文档转存为一个安全的PDF。

沙盒（Sandbox）

它依赖于Linux 容器中运行的gVisor沙盒来打开文档，所以如果是Mac或Windows系统，它会先安装Docker，依赖Docker容器来启动gVisor沙盒，然后在沙盒内运行可能存在危险的文档，沙盒和主机环境是隔离的，并且也禁用了网络，所以即使是恶意文档，在启动后也没办法访问到主机数据，并且也连不了网，啥也干不了。

数据转换

在沙盒内打开文档之后，就会开始下一步操作：

• • 从容器的标准输入读取文档

• • 如果不是PDF的话，首先将原始文档转存为PDF

• • 将PDF的每一页拆开，并将他们转换为RBG像素数据

• • 将页数和 RGB 像素数据写入容器的标准输出

文档生成

将数据转换为RBG像素数据之后，就可以退出沙盒了，然后只需要将RBG像素数据换为新的PDF文档即可：

• • 主机从容器的标准输出读取 RGB 像素数据

• • 将 RGB 像素数据转换为压缩的PDF

• • 保存安全的PDF文件，文件名为原文件名加上-safe.pdf后缀，并将原始的PDF归档

0x02

这个工具支持大部分的常见文档格式：

• • PDF（.pdf）

• • Microsoft Word（.docx、.doc）

• • Microsoft Excel（.xlsx、.xls）

• • Microsoft PowerPoint (.pptx、.ppt)

• • ODF 文本 (.odt)

• • ODF 电子表格 (.ods)

• • ODF 演示文稿 (.odp)

• • ODF 图形 (.odg)

• • EPUB (.epub)

• • Jpeg（.jpg、.jpeg）

• • GIF（.gif）

• • PNG（.png）

• • SVG（.svg）

• • TIFF（.tif、.tiff）

• • 其他图像格式（.bmp、.pnm、.pbm、ppm）

但是即使是使用了Dangerzone来打开恶意文档，也是不绝对安全的，众所周知，只要是工具，就肯定会存在漏洞。所以正常情况下还是不要随便去打开邮件中的附件，除非你真的很好奇~

加个星标关注不迷路 ★ 更多原创文章第一时间推送!
点赞，在看，分享，我都可以的

原文始发于微信公众号（混入安全圈的程序猿）：钓鱼邮件？还带附件？我就想看看钓鱼邮件的附件文档里面到底写了啥咋办？