SUmidcyber/ZeroScout

GitHub: SUmidcyber/ZeroScout

ZeroScout 是一款面向 DFIR 人员的下一代威胁猎杀框架，通过可视化的“作战室”与基因分析技术自动生成防御规则并识别 APT 组织。

Stars: 11 | Forks: 1

# 🦅 ZeroScout ### 自主本地与云端威胁猎杀工具 [![Python](https://img.shields.io/badge/Python-3.9%2B-blue?style=for-the-badge&logo=python)](https://www.python.org/) [![Platform](https://img.shields.io/badge/Platform-Win%20%7C%20Linux%20%7C%20Mac-lightgrey?style=for-the-badge)](https://github.com/yourusername/zeroscout) [![License](https://img.shields.io/badge/License-MIT-green?style=for-the-badge)](LICENSE) [![Status](https://img.shields.io/badge/Status-Production%20Ready-red?style=for-the-badge)](https://github.com/yourusername/zeroscout)

"不要只是扫描文件。可视化战场。"

[🇹🇷 点击查看土耳其语文档 (Read in Turkish)](README.tr.md)

## 🚀 什么是 ZeroScout？ **ZeroScout** 是下一代威胁猎杀框架，专为 **事件响应人员 (DFIR)**、**SOC 分析师** 和 **恶意软件研究员** 设计。与传统充当“黑盒”的防病毒扫描器不同，ZeroScout 充当 **网络防御 HQ**。它在实时的 **作战室** 中可视化攻击面，利用基因代码分析（ImpHash/SSDeep）识别 **APT 组织**，并自动生成 **YARA 和 SIGMA** 防御规则。它运行于 **混合架构** 之中： 1. **本地猎手（离线模式）：** 使用高级启发式分析、熵分析和 Windows Defender 桥接，在无网络访问的情况下检测 0-day 威胁。 2. **云端驱动（在线模式）：** 与高性能的 **ZeroScout Cloud Engine** 无缝集成，进行军事级沙箱分析。 ## ⚡ 核心能力 ### 🌍 1. 实时作战室可视化 ZeroScout 从二进制文件中提取 C2（命令与控制）IP，并直接在您的终端中通过实时的 **ASCII 世界地图** 可视化网络流量。 ### 🧬 2. 基因归因（DNA 分析）新的恶意软件变种？ZeroScout 分析 **代码 DNA (ImpHash)** 和 TTP 行为，以识别文件背后的攻击者。 ### 🛡️ 3. 自动防御架构师停止手动编写检测规则。ZeroScout 瞬间生成可部署的防御代码： * **YARA 规则：** 用于终端扫描。 * **SIGMA 规则：** 用于 SIEM 关联。 ### 🔍 4. 批量猎杀模式在几秒钟内扫描整个目录（例如：下载文件夹、USB 驱动器）。ZeroScout 过滤噪音，并仅突出显示具有特定原因（例如：“高熵”、“进程注入”）的高风险产物。 ## 📸 情报仪表板（演示） ZeroScout 提供了一个综合的、交互式终端仪表板，结合了多种情报流。 ### 🎥 实时作战室动态（推荐使用视频/GIF 演示）由于仪表板的动态特性，强烈建议在 README 中使用 **视频或 GIF** 来展示此功能。 ### 🧬 基因归因摘要 ``` ╭──────────────────────────────────── 🧬 GENETIC ATTRIBUTION ─────────────────────────────────────╮ │ ACTOR: [High-Risk Threat Actor] │ │ CONFIDENCE: 92% [██████████████████░] │ │ Analysis: Code DNA (ImpHash) and TTP behaviors match known APT28 profiles. │ ╰─────────────────────────────────────────────────────────────────────────────────────────────────╯ ``` ## 📦 安装将此项目作为 Python 包安装会自动安装所有依赖项，并使 CLI 工具准备就绪。 ``` # 1. 克隆 repository git clone https://github.com/SUmidcyber/ZeroScout.git cd ZeroScout # 2. 安装 dependencies (Kurulum için burayı kullan) # Bu, ZeroScout'u sisteminizde bir komut olarak erişilebilir kılar. pip install . # 或者仅用于测试： # pip install -r requirements.txt # 3. 准备开始 hunting！ python -m zeroscout.cli scan "malware.exe" ``` ## 🎮 使用指南 ### 1\. 深度分析（0-Day 猎杀）分析单个文件以打开作战室并生成防御规则。 ``` python -m zeroscout.cli scan "C:\Users\Admin\Desktop\suspicious.exe" ``` ### 2\. 批量猎杀（目录扫描）快速扫描文件夹，在数千个文件中发现隐藏的威胁。 ``` python -m zeroscout.cli scan "C:\Windows\System32" ``` ### 3\. 连接云端引擎（可选 - API 密钥）要使用 ZeroScout Cloud Engine，您需要设置 **`ZEROSCOUT_API_KEY`** 环境变量。如果未找到密钥，系统将自动切换至 **本地猎手模式**。 ``` # Windows (PowerShell) $env:ZEROSCOUT_API_KEY="your_api_key_here" # Linux / Mac export ZEROSCOUT_API_KEY="your_api_key_here" ``` ## 🏗️ 技术架构 | 组件 | 技术 | 用途 | | :--- | :--- | :--- | | **核心引擎** | Python 3 | 主要逻辑和 CLI 处理。 | | **可视化** | Rich Library | 仪表板式终端界面。 | | **静态分析** | Pefile & Math | 熵计算、头分析、ImpHash。 | | **特征码** | YARA & Regex | 识别字符串、IP 地址和模式。 | | **云端桥接** | REST API | 连接到沙箱引擎。 | ## 📜 免责声明 **ZeroScout 仅用于教育和防御目的。** 作者不对滥用此工具承担任何责任。始终在隔离环境（VM）中分析恶意软件。 **由 Umid Mammadov 开发** *ZeroScout Technologies*

标签：APT检测, C2检测, CISA项目, DAST, DNS信息、DNS暴力破解, Go语言工具, ImpHash, IP 地址批量处理, SIGMA规则, SSDeep, YARA规则, 云端分析, 启发式分析, 基因分析, 威胁情报, 安全运营, 开发者工具, 开源安全工具, 恶意软件分析, 战争室, 扫描框架, 文档安全, 本地狩猎, 沙箱分析, 混合架构, 熵分析, 终端安全, 网络信息收集, 网络安全, 自动化防御, 逆向工具, 逆向工程平台, 隐私保护, 零日威胁