DaddyUchiha/PdfSentinel

# 🔥 概述 PDF Sentinel 是一款基于 Python 的高级 PDF 威胁狩猎与恶意软件分析工具，旨在检测 PDF 文档内的恶意指标、嵌入式 payload、漏洞签名、混淆技术、可疑 JavaScript 及隐藏威胁。 该工具集成了： 静态 PDF 分析 IOC (失陷指标) 检测 混淆分析 嵌入式 Payload 发现 流解压缩 已知漏洞签名匹配 VirusTotal 集成 基于熵的异常检测 ## 专为以下人员构建： SOC 分析师 恶意软件研究人员 DFIR 调查员 威胁猎人 安全研究员 蓝队运营 🚀 功能特性 ✅ 文件情报 SHA256 和 MD5 哈希生成 文件大小分析 香农熵检测 风险评分引擎 ✅ IOC 检测 ## 检测项： URL IP 地址 电子邮件 PowerShell 指标 cmd.exe 引用 可疑 URI 动作 嵌入式可执行文件 (MZ Header) OpenAction 与 Launch 触发器 ✅ 高级混淆检测 ## 识别项： 十六进制编码 Unicode 转义 Base64 混淆 基于 Eval 的 JavaScript 动态执行 数组/对象混淆 编码后的 Payload Shellcode 标记 NOP Sleds 二进制 Payload 模式 ✅ PDF 流分析 提取并解压缩 Flate 流 检测流内的恶意 JavaScript 检测嵌入式 PE 可执行文件 识别隐藏的 Payload ✅ JavaScript 威胁检测 ## 检测项： 嵌入式 JS Eval 使用 危险函数 可疑 PDF JavaScript 动作 ✅ 嵌入式 Payload 发现 查找嵌入式 PE 文件 检测隐藏的可执行 Payload 标记可疑二进制文件 ✅ CVE 漏洞签名检测 ## 包含数十种已知 PDF 漏洞的签名，包括： Adobe Reader 漏洞 基于 Flash 的 PDF 漏洞 JBIG2 漏洞 JavaScript 引擎漏洞 XFA 漏洞 富媒体漏洞 ✅ VirusTotal 集成 ## 可选的 VirusTotal API 支持： 上传 PDF 进行扫描 获取 AV 引擎检测结果 恶意比率分析 威胁情报增强 🛡️ 威胁评分引擎 ## PDF Sentinel 根据以下内容分配动态风险评分： 恶意指标 混淆技术 嵌入式可执行文件 漏洞签名 JavaScript 行为 流异常 风险级别 分数 判定 0 干净 (CLEAN) 1–20 低风险 (LOW RISK) 21–50 可疑 (SUSPICIOUS) 51–100 高风险 (HIGH RISK) 100+ 严重 (CRITICAL) ## ⚙️ 使用的技术 * Python 3 * 正则表达式模式匹配 * zlib 流解压缩 * VirusTotal API * 熵分析 * 二进制检查 * 静态恶意软件分析技术 ## 功能特性 恶意排名： | 分数 | 判定 | | ----- | ---------- | | 0 | CLEAN | | 1–20 | LOW RISK | | 21–50 | SUSPICIOUS | | 51–100| HIGH RISK | | 100+ | CRITICAL | ## 安装说明 使用 git 安装 PdfSentinel ``` git clone https://github.com/DaddyUchiha/PdfSentinel cd PdfSentinel pip install requests ``` ## 使用说明 ``` python3 PdfSentinel.py ``` 在出现提示时输入 PDF 文件的绝对路径。 #### 可选操作： * 启用 VirusTotal API 集成以增强检测能力。 ## ⚠️ 免责声明 本工具旨在用于： 教育目的 安全研究 防御性安全操作 经授权的恶意软件分析环境 请勿将此工具用于您不拥有或未获授权分析的系统或文件。

标签：CVE签名匹配, DAST, DNS 反向解析, Go语言工具, IOC检测, MD5哈希, OpenCanary, PDF威胁检测, PDF安全分析, PE文件提取, Python安全工具, SHA256哈希, SOC工具, VirusTotal集成, 二进制分析, 云安全监控, 云安全运维, 代码示例, 安全研究人员, 异常检测, 恶意PDF检测, 恶意软件分析, 恶意软件防御, 搜索语句（dork）, 数字取证, 数据分析, 数据展示, 沙箱逃逸, 流解压, 混淆分析, 漏洞发现, 熵检测, 红队, 网络信息收集, 网络安全, 自动化脚本, 蓝队运营, 隐私保护, 静态分析, 风险评分