Jwaifull/IOCHunter
GitHub: Jwaifull/IOCHunter
面向应急响应人员的轻量级桌面工具,支持聚合查询多个威胁情报 API 并导出专业报告。
Stars: 0 | Forks: 0
# 🔍 IOCHunter
**面向应急响应人员的开源威胁情报分析工具**
IOCHunter 是一款轻量级、可移植的桌面工具,用于同时针对多个威胁情报 API 分析入侵指标。专为需要在外场快速获取答案的安全顾问和应急响应人员设计。
## ✨ 功能特性
- 🔍 **自动检测** IOC 类型 — IPv4、IPv6、Domain、URL、MD5、SHA1、SHA256、Email、CVE
- ⚡ **并行 API 查询** — 同时查询所有来源
- 📋 **多种输入方式** — 手动粘贴、上传 .txt/.csv/.log 文件或粘贴原始日志
- 📊 **风险评分** — 每个 IOC 的综合风险等级
- 📄 **导出** — 具有专业样式的 PDF 和 HTML 报告
- ⚙️ **用户管理的 API 密钥** — 本地存储,绝不共享
- 🤖 **AI 模式**(可选) — 通过 Ollama 使用 Qwen 进行日志解析和结果综合
- 🖥️ **跨平台** — Windows 和 Linux
## 🚀 快速开始
### 1. 克隆仓库
```
git clone https://github.com/Jwaifull/IOCHunter.git
cd IOCHunter
```
### 2. 安装依赖
```
pip install -r requirements.txt
```
### 3. 运行
```
python main.py
```
## 📦 依赖项
| 库 | 版本 | 用途 |
|---------|---------|---------|
| customtkinter | 5.2.2 | 现代 GUI 框架 |
| requests | 2.31.0 | HTTP API 调用 |
| reportlab | 4.1.0 | PDF 导出 |
| jinja2 | 3.1.3 | HTML 报告模板 |
| Pillow | 10.2.0 | 图像处理 |
一次性安装所有依赖:
```
pip install -r requirements.txt
```
## 🔑 API 密钥设置
IOCHunter 需要每个服务的免费 API 密钥。在应用程序中进入 **Settings → API Keys** 输入它们。
| 服务 | 免费套餐 | 注册地址 |
|---------|-----------|---------|
| VirusTotal | 500 次/天 | https://virustotal.com |
| AbuseIPDB | 1,000 次/天 | https://abuseipdb.com |
| AlienVault OTX | 无限制 | https://otx.alienvault.com |
| IPinfo | 50,000 次/月 | https://ipinfo.io |
| GreyNoise | 有限 | https://greynoise.io |
| MalwareBazaar | 无限制 | https://bazaar.abuse.ch |
| URLScan.io | 无限制 | https://urlscan.io |
| ThreatFox | 无限制 | https://threatfox.abuse.ch |
| Shodan | 有限 | https://shodan.io |
| Hybrid Analysis | 无限制 | https://hybrid-analysis.com |
## 📖 支持的 IOC 类型
| 类型 | 示例 |
|------|---------|
| IPv4 | `45.33.32.156` |
| IPv6 | `2001:db8::1` |
| Domain | `evil-domain.com` |
| URL | `http://evil.com/payload.exe` |
| MD5 | `d41d8cd98f00b204e9800998ecf8427e` |
| SHA1 | `da39a3ee5e6b4b0d3255bfef95601890afd80709` |
| SHA256 | `e3b0c44298fc1c149afb4c8996fb92427ae41e4...` |
| Email | `attacker@evil.com` |
| CVE | `CVE-2024-1234` |
## 🗂️ 项目结构
```
IOCHunter/
├── main.py # Entry point
├── requirements.txt
├── README.md
├── config/
│ └── settings.py # Config & API key management
├── modules/
│ ├── detector.py # IOC type detection (regex)
│ ├── analyzer.py # Orchestrates API calls
│ └── apis/
│ ├── virustotal.py
│ ├── abuseipdb.py
│ ├── alienvault.py
│ └── ipinfo.py
├── ui/
│ └── main_app.py # Full GUI (CustomTkinter)
└── exports/
├── html_export.py
└── pdf_export.py
```
## 🗺️ 路线图
- [x] 第一阶段 — 核心:VirusTotal、AbuseIPDB、AlienVault、IPinfo
- [ ] 第二阶段 — GreyNoise、MalwareBazaar、URLScan、ThreatFox
- [ ] 第三阶段 — Shodan、Hybrid Analysis、SecurityTrails
- [ ] 第四阶段 — AI 集成(通过 Ollama 使用 Qwen)
- [ ] 第五阶段 — Web 界面
- [ ] 第六阶段 — Windows 安装程序
## 📄 许可证
AGPL-3.0 许可证 — 开源免费使用。用于商业许可。
*由安全社区构建,服务于安全社区。*
标签:AbuseIPDB, AI风险缓解, Ask搜索, DAST, ESC4, GUI工具, IOC分析, IP查询, OSINT, PDF报告生成, Python, Sigma 规则, VirusTotal, 哈希校验, 域名分析, 威胁情报分析, 字符串匹配, 库, 应急响应, 恶意软件分析, 无后门, 网络安全, 自动化分析, 跨站脚本, 逆向工具, 隐私保护