Didier Stevens blogjában arról ír, hogy hogyan követte nyomon egy malware készítő munkálkodását a PDF fájlok inkrementális frissítési funkcióját kihasználva. Ez a lehetőség alkalmat ad arra, hogy a PDF fájlokban történt változásokat - így a készítő tevékenységét - lépésről lépésre nyomonkövessük. 

Az egyik dolog, amit kiemelnék a bejegyzésből az, hogy a megvizsgált PDF trójai írója valószínűleg nem az asötét szobában, orvosi kesztűben, és napszemüvegben gépelő precíz programozózseni, akinek esetleg néhányan elképzelhetik. A delikvens, miután nem bírt rájönni, hogy hogyan kell az Adobe JavaScript API-jának setTimeout() metódusát használni, egyszerűen kihagyta a vonatkozó részt, és késleltetés nélkül írta meg a szkriptjét - a titkok nyitja egyébként egy kis guglizás után könnyen fellelhező lett volna az Adobe hivatalos dokumentációjában.

A másik érdekesség, hogy még ilyen képességek és bénázás mellett is nagyjából egy óra alatt elkészült az alkotás, ami jól mutatja, hogy milyen  hatékonyan készíthetők el a kártékony fájlok egy-egy új sebezhetőség napvilágra kerülését követően. 

Ha valaki kedvett kapott utánajárni a különböző PDF dokumentumokba rejtett okosságok élettörténetének (vagy bármi másnak), az használhatja Stevens PDF feldolgozó eszközét.