nirmitipatil6-spec/pdf-malware-detector

# PDF 恶意软件分析器 一款用于检测 PDF 文件中恶意内容的专业静态分析工具。 专为安全研究人员、SOC 分析员和恶意软件调查人员设计。 ## 功能 - **JavaScript 分析** — 检测危险的 JS 函数、混淆技术， 以及自动执行触发器（`/OpenAction`、`/AA`） - **钓鱼检测** — 提取并标记可疑 URL、基于 IP 的链接、 缩短的 URL 和表单提交行为 - **嵌入载荷扫描** — 使用魔数签名识别嵌入的可执行文件、脚本和 base64 编码的载荷 - **IOC 提取** — 提取 URL、电子邮件地址、IP地址和 CVE 引用 - **关键词检测** — 扫描 30 多个可疑 PDF 关键词，并带有加权 严重性评分（`/Launch`、`/EmbeddedFile`、`ActiveXObject` 等） - **自动化风险评分** — 生成 CLEAN / LOW / MEDIUM / HIGH / CRITICAL 判决并提供完整分数明细 - **扫描历史记录** — 在会话中跟踪所有历史扫描，支持一键还原 - **报告导出** — 以 JSON（SIEM 就绪）或格式化 PDF 报告导出结果 ## 安装 pip install customtkinter PyMuPDF pdfminer.six reportlab ## 使用 python pdf_malware_analyzer_gui.py ## 技术栈 Python · CustomTkinter · PyMuPDF · pdfminer.six · ReportLab ## 免责声明 本工具仅供授权的安全分析使用。 请始终在隔离、安全的环境中分析文件。 ## 工作原理 1. **加载 PDF** — 读取文件并提取元数据、文件哈希和结构信息 2. **对象枚举** — 扫描所有内部 PDF 对象和流中的可疑关键词 3. **JavaScript 分析** — 检测危险的 JS 函数、混淆和自动执行触发器 4. **嵌入对象扫描** — 识别嵌入的可执行文件和 base64 编码的载荷 5. **IOC 提取** — 提取 URL、网络钓鱼链接、IP地址、电子邮件和 CVE 引用 6. **风险评分** — 计算加权风险分数并分配 CLEAN / LOW / MEDIUM / HIGH / CRITICAL 判决 7. **报告生成** — 以 JSON 文件或格式化 PDF 报告导出结果

标签：CustomTkinter, CVE查询, DInvoke, IOC提取, pdfminer, PDF安全分析, PyMuPDF, ReportLab, SIEM集成, SOC分析, 云安全监控, 关键词检测, 威胁情报, 嵌入载荷扫描, 开发者工具, 恶意PDF检测, 恶意软件调查, 报告导出, 自动化取证, 逆向工具, 钓鱼检测, 静态分析, 风险评分