Forensyka strukturalna dla wrogich kontenerów PDF
PDF Malware Workbench jest warstwą forensyki strukturalnej stacku QuantixLabs. Nie kończy pracy na werdykcie. Rozkłada dokument na obiekty, skrypty, rewizje, strumienie i ślady wykonania, aby analityk mógł zobaczyć intencję ataku przed uruchomieniem payloadu.
19 wyspecjalizowanych widoków analizy
Każdy panel dostarcza skupioną perspektywę na inny aspekt struktury dokumentu PDF, od surowych bajtów po wskaźniki behawioralne.
Drzewo obiektów
Pełna hierarchia obiektów PDF z rozwiązywaniem referencji pośrednich, dekompresją strumieni i walidacją tablicy odsyłaczy.
Piaskownica JavaScript
Izolowane środowisko wykonania JS z hookowaniem API. Przechwytuje łańcuchy eval(), manipulację dokumentem i próby wywołań sieciowych.
Analizator entropii
Wizualizacja entropii Shannon per-strumień. Wykrywanie payloadów steganograficznych, zaszyfrowanych blobów i anomalnych współczynników kompresji.
Timeline rewizji
Rekonstrukcja łańcucha aktualizacji przyrostowych. Eksponowanie mutacji dokumentu mogących ukrywać iniekcję payloadu lub manipulację metadanych.
Inspektor strumieni
Przeglądarka surowej zawartości strumieni z trybami hex/ASCII/decoded. Filtrowanie, dekompresja flate i dekodowanie ASCIIHex inline.
Graf ataków
Automatyczna rekonstrukcja łańcucha ataku z wykrytych wskaźników - od punktu wejścia przez dostarczenie payloadu po próbę wykonania.
Analiza fontów
Inspekcja osadzonych fontów pod kątem exploitów Type1/TrueType/CIDFont. Parsing tablic glifów i wykrywanie anomalii kodowania.
Inspektor akcji
Enumeracja OpenAction, AA (Additional Actions), Named Actions i akcji URI z mapowaniem kontekstu triggerów.
Tablica XRef
Walidacja tablicy cross-reference, śledzenie wolnych obiektów, audyt numerów generacji i weryfikacja statusu linearyzacji.
KOLEJNYCH PANELI
Cztery interfejsy operacyjne
Zintegruj analizę PDF w dowolny workflow - od interaktywnego śledztwa po automatyczne przetwarzanie pipeline.
Kokpit webowy
Pełny 19-panelowy interfejs przeglądarkowy z drag-and-drop, analizą real-time, eksportowalnymi raportami i wspólnym adnotowaniem.
Narzędzie CLI
Interfejs wiersza poleceń do przetwarzania wsadowego, analizy skryptowej i integracji pipeline. Formaty wyjścia JSON/SARIF.
REST API
Programowy dostęp do wszystkich silników analizy. Upload → analiza → pobranie wyników. Webshooki dla przetwarzania async.
Konsola REPL
Interaktywne REPL Python z wstępnie załadowanymi bibliotekami parsowania PDF. Bezpośrednia manipulacja obiektami i skrypty analizy.
Zautomatyzowany pipeline detekcji
PDF przesłany przez dowolną powierzchnię. Obliczanie hash pliku, walidacja rozmiaru, weryfikacja formatu przed rozpoczęciem.
Parsing struktury PDF na poziomie binarnym. Budowa tablicy cross-reference, populacja katalogu obiektów, rozwiązanie słowników strumieni.
Egzaminacja każdego obiektu: dekompresja strumieni, ekstrakcja JavaScript, katalogowanie plików osadzonych, mapowanie łańcuchów akcji.
Wszystkie 19 paneli wykonuje się jednocześnie. Pomiar entropii, wykonanie sandbox, inspekcja fontów, audyt rewizji - równolegle.
Obliczenie złożonego wyniku zagrożenia z ustaleń poszczególnych paneli. Ważony model severity z konfigurowalnymi progami.
Generacja strukturalnego raportu - streszczenie wykonawcze, deep-dive techniczny, ekstrakcja IOC i wytyczne remediacji.