Analisi

Analisi

Il modulo Analisi assembla un dossier del file riusando ogni motore dell'app: tipo reale, entropia, stringhe, header eseguibili, firme incorporate, fuzzy hash, YARA e Content Credentials C2PA.

Cosa fa

Cosa fa il modulo Analisi

Tipo reale ↔ estensione

Riconosce il formato dai magic bytes e lo confronta con l'estensione (gestendo alias come jpeg/jpg).

Entropia di Shannon

Valore globale e per blocco (sparkline); segnala i formati già compressi per non generare falsi allarmi.

Stringhe ASCII e UTF-16

Estrae le stringhe stampabili, incluse quelle UTF-16LE tipiche di Windows; URL/email/IP evidenziati.

Header eseguibili

PE/ELF/Mach-O: architettura, sezioni, import; per i PE anche imphash e rilevamento packer.

Fuzzy hash & hash-set

ssdeep per trovare file simili e confronto con hash-set noti (liste stile NSRL).

YARA & C2PA

Applica regole YARA da endpoint aggiornabile e legge/valida i Content Credentials C2PA.

Passo per passo

Come funziona

  1. Apri un file: Probatio rileva il tipo e calcola l'entropia su un campione.
  2. Estrae stringhe, header eseguibili, firme incorporate e ssdeep.
  3. On-demand confronta con hash-set, applica YARA e analizza il manifest C2PA.
FAQ

Domande frequenti

Cosa rileva l'analisi di un file?
Tipo reale vs estensione, entropia (globale e a blocchi), stringhe ASCII/UTF-16, header eseguibili, firme incorporate, fuzzy hash ssdeep, hash-set noti, YARA e C2PA.
Probatio valida la firma C2PA?
Sì: decodifica il manifest (JUMBF + CBOR) e verifica crittograficamente la firma COSE (ES256/384, PS/RS256/384/512, EdDSA). Non valida ancora la catena fino a una trust anchor C2PA.
Da dove arrivano le regole YARA?
Da un endpoint online configurabile nelle Impostazioni; le regole sono scaricate, compilate e applicate al file localmente.