harsh160311/ThreatHunter-AI

# 🛡️ ThreatHunter AI - 混合恶意软件检测系统  -green?style=for-the-badge&logo=linux)   **ThreatHunter AI** 是一款先进的开源恶意软件检测工具，专为**网络安全研究员**和**道德黑客**设计。它利用结合了**基于签名的扫描** (SHA256) 和**启发式 AI 分析** (Machine Learning) 的**混合检测引擎**来检测零日威胁。 ## ✨ 核心功能 - **🚀 零接触初始化 (新功能):** 启动时自动训练 AI 模型并从云端获取最新的恶意软件签名。无需手动操作脚本！ - **🧠 混合 AI 引擎:** 使用基于文件熵和可疑关键词训练的 Random Forest Classifier 检测未知威胁。 - **📂 签名扫描:** 将文件哈希值与包含 800+ 已知恶意软件签名的本地数据库进行匹配（数据源自 MalwareBazaar）。 - **🛡️ Windows 集成:** 在扫描前自动检查 **Windows Defender 日志**以节省时间。 - **🐧 Linux 集成:** 在 Kali Linux/Ubuntu 上与 **ClamAV** 无缝集成，进行深度系统扫描。 - **⚡ 智能白名单:** 针对 Tor Browser、Burp Suite、NPM 和 Python 环境的智能路径白名单机制，以防止误报。 - **🖥️ 现代化 GUI:** 使用 **PyQt5** 构建，具有专业的深色模式界面、实时日志和进度跟踪功能。 ## 🛠️ 技术栈与库 该项目使用 **Python 3** 构建，需要以下库： | 库 | 用途 | | :--- | :--- | | **PyQt5** | 用于构建图形用户界面 (GUI)。 | | **scikit-learn** | 用于 Random Forest 机器学习模型。 | | **joblib** | 用于保存/加载训练好的 AI 模型 (`.pkl`)。 | | **requests** | 用于从云端获取恶意软件数据库更新。 | | **numpy** | 用于 AI 处理中的数值运算。 | ## ⚙️ 安装指南 ### 前置条件 - 已安装 **Python 3.8+**。 - 已安装 **Git**。 - **(仅限 Linux)** 已安装 ClamAV：`sudo apt install clamav` ### 1️⃣ 克隆仓库并运行 打开终端并运行： # 1. 克隆仓库 ``` git clone https://github.com/harsh160311/ThreatHunter-AI.git ``` ``` cd ThreatHunter-AI ``` # 2. 更新系统并安装 ClamAV ``` sudo apt update ``` ``` sudo apt install clamav -y ``` # 3. 安装 Python 依赖 ``` sudo apt install python3-pyqt5 python3-sklearn python3-joblib python3-requests python3-numpy -y ``` # 4. 验证文件 ``` ls ``` # 5. 运行应用程序 (自动训练 AI 并更新数据库) ``` python3 app.py ``` ## ⚙️ 安装指南 ### 1️⃣ 一步执行 您不再需要运行多个脚本。主应用程序在启动时会自动处理 AI 训练和数据库更新。 打开 terminal/cmd 并运行： ``` pip install -r requirements.txt ``` ``` python app.py ``` **(可选)** 如果由于某种原因上述命令失败，您可以使用以下命令手动安装所需的库： ``` pip install PyQt5 scikit-learn joblib requests numpy ``` ## 🧠 工作原理 (逻辑) 扫描程序遵循严格的多层安全协议： **第一阶段: 系统完整性检查** * **Windows:** 检查 Windows Defender 是否处于活动状态。如果是，则提取最近的威胁日志。 * **Linux:** 对目标目录执行 clamscan 以查找已知的 Linux 威胁（如 Rootkits/Webshells）。 **第二阶段: 深度混合扫描** * **层 A (签名):** 计算每个文件的 SHA256 哈希值，并与 `malware_db.json` 进行比对。 * **层 B (白名单):** 检查文件是否属于受信任的应用程序（Tor, Firefox, Python venv）以避免误报。 * **层 C (AI 启发式):** 如果文件未知，AI 引擎会分析其熵（随机性）和可疑关键词（例如 eval, socket, powershell）。 ## 📂 项目结构 ``` ThreatHunter-AI/ ├── app.py # Main GUI Application & Master Controller (Entry Point) ├── scanner.py # Core Scanning Engine (Logic) ├── feature_extractor.py # File Analysis Tool (Entropy & Keywords) ├── model.py # AI Prediction Logic (The Brain) ├── train_model.py # Script to Train/Retrain the AI Model ├── db_updater.py # Script to Update Virus Database ├── malware_db.json # Local Database of Virus Hashes ├── malware_model.pkl # Trained AI Model File ├── requirements.txt # List of Dependencies └── README.md # Documentation ``` ## ⚠️ 免责声明 **仅限教育用途。** 该工具旨在帮助网络安全爱好者和研究人员了解恶意软件分析和防病毒架构。开发者不对因滥用该工具造成的任何损害负责。请始终在隔离的虚拟机 (VM) 中测试恶意软件。 ## ⚖️ 许可证与版权 © 2026 Harsh. 保留所有权利。 该项目根据 **MIT License** 授权。 您可以自由使用、修改和分发本软件，但在本软件的任何副本或实质部分中必须包含原始版权声明和许可证。 ## 👨‍💻 作者 Harsh (@harsh160311) 网络安全爱好者 & 开发者

标签：Apex, ClamAV集成, Conpot, DNS枚举, GraphQL安全矩阵, GUI界面, MalwareBazaar, PyQt5, Python, SHA256, Windows Defender日志, Windows安全, 云安全监控, 人工智能, 动态应用程序安全测试, 卡利Linux工具, 反病毒, 启发式扫描, 威胁情报, 安全扫描器, 安全研究员, 开发者工具, 数据科学, 文件熵分析, 无后门, 机器学习, 混合扫描引擎, 特征码匹配, 用户模式Hook绕过, 白名单机制, 网络安全工具, 自动化训练, 自定义DNS解析器, 资源验证, 逆向工具, 随机森林, 静态分析