由于该工具是封闭源代码，因此很难确定，但我怀疑这意味着该文件在文档结尾之后包含额外的数据。例如，RTF 通常以 开头{\rtf1，包含许多嵌入的命令（有些使用嵌套{}的参数）并以匹配的}. 如果在 final 之后有额外的数据}，则它不是文档的一部分，但可能是主体内部漏洞利用所使用的有效载荷的一部分。这当然不是恶意文件的 100% 指标，而只是应该对其进行更彻底检查的可能提示之一。

要确认，您可以尝试在来自 Wikipedia 的此示例 RTF 文件上运行它：

{\rtf1\ansi{\fonttbl\f0\fswiss Helvetica;}\f0\pard
This is some {\b bold} text.\par
}

最后添加一些额外的数据，看看是否会触发警告。