随着互联网和办公自动化的日益普及，PDF(Portable Document Format)文档以其丰富的功能、高度的集成与封装以及平台无关的特性迅速成为全球电子文档分发的开放式标准。PDF文档的广泛应用，给人们的生活带来了许多便利，但同时也带来了许多问题。PDF文档的普遍适应性与广泛传播性，使其越来越受攻击者的青睐，逐渐成为热门恶意代码的主要传播媒介。嵌入恶意代码的PDF文档，即恶意PDF文档，其攻击手段相比于传统的恶意代码更加隐蔽，给用户造成巨大危害的同时，也给互联网安全带来了严峻的威胁与挑战。因为恶意PDF文档存在的严重破坏性，对其进行有效检测已经逐渐成为了计算机安全领域研究的热点。　　在本文中，首先简要介绍了PDF文档格式，包括其物理结构和逻辑结构，并根据其结构阐述了通用的嵌入恶意内容的方式、攻击手段和传播渠道，在此基础上构建了PDF文档的预处理模块，包括对PDF文档所有对象的解析、各部分二进制数据的查看与内嵌JavaScript代码的提取的功能，这是对PDF文档进行进一步分析与检测的基础。然后，根据对恶意PDF文档的攻击手段、反查杀方式和传播模型的分析与研究，结合现有的检测方法，分别介绍了静态检测方法与动态检测方法的原理，并详细分析了其优缺点。接着，着重介绍了本文所采用的包括JavaScript代码反混淆处理的静态检测方法和基于仿真模拟的动态检测方法，以及动静态结合检测方法原理与优势。进而，以上述研究为基础构建了静态检测模块和动态检测模块，并结合PDF文档预处理模块，构建了整个动静态结合的恶意PDF文档检测原型系统。最后，利用大量恶意PDF文档样本进行了实验，对本系统的有效性和性能进行了验证。根据对实验数据的分析，本系统在检测率上优于现有的静态检测系统，在检测时间上优于现有的动态检测系统，在检测率与检测时间上做了一个很好的平衡。　　研究表明，本文对于JavaScript代码的静态反混淆处理提高了静态检测率。基于仿真模拟的动态检测方法的时间开销相比于基于虚拟机的动态检测方法更小。动静态检测方法的有效结合在检测率与检测时间上达到了较好的平衡。