Vider06/V0rtex

# V0RTEX v0.9.7 **V0RTEX** 是一个基于 Python + Tkinter 构建的独立 Windows 恶意软件分析平台。 `V = Vider · 0 = zero-day · R = Reverse (逆向) · T = Threat (威胁) · E = Engine (引擎) · X = eXamine (审查)` ## 功能概览 | 领域 | 详情 | |------|---------| | **YARA** | 自定义规则编辑器 · 社区库下载器 · 字符串反混淆器 · Sigma 规则查看器 | | **VirusTotal** | 文件扫描 · 哈希查询 · 批量处理 · 自动上传 · 重新扫描调度 | | **PE Inspector** | 头信息 · 导入表 · 导出表 · 节区 · 可疑 API 检测 · 逐节熵值 | | **IOC** | 自动提取 · MITRE ATT&CK 映射 · 订阅源导入 · IP/域名信誉 | | **Sandbox** | 监控文件夹自动扫描 · 进程监控 · 文件分析器 · 字符串提取 · Cuckoo/CAPE | | **Network** | 实时连接 · PCAP 捕获 · 端口扫描 · DNS · WHOIS · SSL/TLS · HTTP 头 · URL 工具 | | **Crypto** | AES-256-GCM · RSA · SHA-3 · BLAKE2 · Vigenère · Base64/Hex/XOR · JWT 解码器 · 哈希检查器 | | **APIs** | VirusTotal · MalwareBazaar · AbuseIPDB · URLScan · AlienVault OTX · Shodan · GreyNoise · HybridAnalysis | | **Entropy** | 文件熵值图表 · 节级分析 · 判定仪表盘 | | **Process** | 实时扫描器 · 服务查看器 · 启动项 · 环境变量 · 打开的句柄 · 进程树 | | **Lookup** | 快速/批量哈希 · 字符串 · Diff · IOC 提取 · 正则表达式 · 归档 · 宏 · 二进制模式 · Unicode · PE 头 | | **Notes** | 便笺 · MITRE 地图 · TODO 列表 · 代码片段库 · 报告生成器 | | **Defense** | 实时监控 · 隔离 · 自我防御 · 应用完整性 · 文件夹保护 · 自动备份 | | **DB** | SQLite · 完整扫描历史 · 导出 CSV/JSON/HTML · 扫描历史浏览器 | **21 个主选项卡 · 80+ 个子选项卡** ## 安装说明 ### 前置条件 - Windows 10 或 11 (64-bit) - Python 3.10 或更高版本 → [python.org](https://www.python.org/downloads/) - 互联网连接 - 首次启动建议具有管理员权限 ### 步骤 1. **克隆或下载** 此仓库： ``` git clone https://github.com/Vider06/V0rtex.git ``` 2. **运行文件：** ``` python v0rtex.py ``` 3. **按照设置向导操作** — 它会自动： - 通过 `pip` 安装所有 Python 包 - 安装 **Microsoft C++ Build Tools**（`yara-python` 必需） - 下载并安装 Wireshark/tshark（可选） - 创建完整的文件夹结构 - 写入具有出厂默认值的 `config.json`、`whitelist.txt`、`notes.txt` - 创建 `scan_history.db` - 启动后在后台编译 YARA 规则 4. **配置 API 密钥** → `CFG` 标签页 → `API KEYS` 5. **下载 YARA 规则** → `YARA` 标签页 → `LIBRARY` → 选择仓库 → **DOWNLOAD** ## 文件夹结构 ``` V0rtex_System/ ├── V0RTEX_v0.9/ ← main install directory (BASE_DIR) │ ├── v0rtex.py ← the entire application │ ├── config.json ← all user settings │ ├── scan_history.db ← SQLite database │ ├── whitelist.txt ← hash/path exclusions │ ├── notes.txt ← scratchpad persistent storage │ ├── rules_state.json ← YARA library download state │ ├── launch.bat ← quick launch script │ ├── requirements.txt ← pip requirements │ ├── rules/ ← YARA rule files (.yar / .yara) │ │ └── external/ ← community rule sets │ ├── reports/ ← generated HTML/PDF/JSON reports │ ├── modules/ ← embedded helper modules │ │ ├── pe_analysis.py │ │ ├── cuckoo_api.py │ │ ├── secret_scanner.py │ │ ├── wireshark.py │ │ └── __init__.py │ ├── debug_log/ ← session logs and crash reports │ ├── quarantine/ ← isolated malicious files │ ├── backups/ ← auto-created backup ZIPs │ └── _recovery/ ← recovery system working directory ├── installation_media/ │ ├── v0rtex.py ← backup copy of the script │ ├── setup_win.bat ← setup batch script │ ├── INSTRUCTIONS.txt ← setup instructions │ ├── uninstall.py ← uninstall wizard │ ├── reinstall.py ← reinstall wizard │ ├── debug_log/ ← installer session logs │ └── backups/ ← pre-uninstall/reinstall backups └── V0rtex_backups/ ← backup ZIPs (outside V0rtex_System) ``` ## 主界面 — 选项卡参考 ### 🏠 HOME (主页) 主仪表盘。显示实时扫描统计（总扫描数、恶意、干净、YARA 命中、队列、API 密钥）、威胁级别条和最近扫描表。右侧面板包含 **Quick Actions**（添加文件、添加文件夹、扫描 URL、沙箱、自动扫描、监控文件夹）和 **V0RTEX INFO**（构建信息、版本、API）。点击最近扫描表中的任意行将打开完整的扫描报告弹窗。 ### 📋 LOGS (日志) 滚动视图中的三个日志面板：**FILE OPERATIONS**（每个扫描事件及其判定）、**DEBUG LOG**（内部检查点、错误、后台线程活动）。日志也会写入磁盘上的 `debug_log/`。提供清除按钮和导出为 `.txt` 的功能。 ### 📊 CHRT (图表) 三个子标签页： - **Charts** — 扫描结果的实时条形/饼图（恶意 vs 干净 vs YARA），每次扫描后更新。刷新按钮强制重绘。 - **ENT** — 所有已扫描文件的熵值分布直方图。 - **HEAT** — 所有扫描样本的威胁类别与文件类型的热力图。 ### 📁 REP (Reports, 报告) 浏览、打开和删除扫描报告。支持 HTML、JSON 和纯文本格式。双击报告可在内置查看器或默认浏览器中打开。差异视图并排比较两份报告，以检测同一文件在不同扫描之间的变化。 ### 🎯 IOC 四个子标签页： - **IOC** — 从扫描结果中自动提取 IOC。提取 IP、域名、URL、MD5/SHA 哈希、电子邮件地址、CVE、注册表键和 Windows API 名称。 - **MITRE** — 将提取的 IOC 和可疑 API 调用映射到 MITRE ATT&CK 技术和战术，附带描述和链接。 - **Feed** — 将外部威胁订阅文件（CSV, JSON, TXT）导入本地数据库以进行丰富化。 - **IP/Domain Rep.** / **Stats** / **Export** — 批量信誉查询和 IOC 导出。 ### 🛡 YARA 五个子标签页： - **YARA** — 主扫描控制：对任意文件运行 YARA，查看命中结果（规则名称、命名空间和匹配字符串）。 - **LIBRARY** — 从 GitHub 下载社区规则集。选择任意组合：Neo23x0 (Florian Roth)、Elastic Security、Avast Threat Intel、VirusTotal、Yara-Rules (malware/crypto/packers/RATs/CVE/email/maldocs/webshells)、JPCERT/CC、mikesxrs。显示下载状态、文件数和逐规则验证。 - **✏ RULE EDITOR** — 完整的内置 YARA 规则编辑器，支持语法高亮（关键字、修饰符、字符串、十六进制模式、注释）。Compile & Test 编译规则并报告错误。Test on File 对选定文件运行编译后的规则并显示匹配项。Save/Open 规则直接存取 `rules/`。 - **DEOBF** — 字符串反混淆器。粘贴来自 YARA 命中的混淆内容，自动运行 XOR 暴力破解、base64 解码、ROT 变体和十六进制解码。 - **Σ SIGMA** — 加载 `.yml` Sigma 检测规则。显示规则元数据（标题、状态、作者、日期、标签）、检测逻辑（关键字、条件）以及映射的 MITRE 技术。 ### ⚡ PERF (Performance, 性能) 系统性能监控器。跟踪 CPU%、RAM（已用/总计）、磁盘 I/O 和网络 I/O。每 5 秒更新一次。显示 python 进程的每进程 CPU/内存细分。用于在繁重扫描期间诊断 V0RTEX 资源使用情况。 ### ⏱ TL (Timeline, 时间线) 按时间顺序的扫描历史图表。在时间轴上绘制扫描事件，显示判定（恶意/干净/YARA）、文件类型和熵值。有助于识别扫描模式和时间相关的威胁活动。 ### 🔬 SB (Sandbox, 沙箱) 四个子标签页： - **Auto-Scan** — 文件夹监控器。设置一个目录，V0RTEX 自动将放入其中的任何新文件排队进行完整分析。显示监控状态、队列深度和最后事件。 - **Process** — 实时运行进程列表，包含 PID、名称、CPU%、内存、命令行。可疑进程名称以红色高亮显示。右键可将进程 EXE 直接发送到 YARA 或终止进程。 - **File Analyzer** — 对单个选定文件的深度静态分析：魔数、文件类型、熵值、PE 信息、嵌入字符串、IOC 提取、YARA 扫描，同屏显示。 - **String Extract** — 从任意二进制文件中提取原始 ASCII 和 Unicode 字符串，具有可配置的最小长度和编码过滤器。 ### 🏗 SETUP (设置) 首次设置和重新安装向导。可从主界面访问，无需重启即可重新运行安装步骤。可以修复包、重新提取嵌入模块、重置配置并验证完整安装状态。 ### 👁 WD (Watchdog, 监控) 独立的文件夹监控器。监控用户定义的任意路径的文件创建、修改和删除事件。实时记录所有活动。可配置为自动隔离可疑新文件或仅发出警报。独立于 SB Auto-Scan 监控器。 ### ⚙ CFG (Config, 配置) 六个子标签页： - **API KEYS** — 粘贴所有支持服务的 API 密钥。内联测试按钮立即验证每个密钥。 - **CONFIGURATION** — 速率限制、tshark 路径、代理、超时、扫描行为（递归、跳过空文件、自动报告格式、哈希优先级）。 - **WHITELIST** — 哈希和路径排除。匹配条目的文件在扫描期间被跳过。 - **EXPORT** — 将扫描历史导出为 CSV、JSON 或 HTML。可配置日期范围和判定过滤器。 - **🔖 CHECKPOINT** — 当前会话所有内部调试检查点的实时日志。也会写入 `debug_log/`。导出为 `.txt`。 - **SCAN HISTORY** — 浏览存储在 `scan_history.db` 中的所有过去扫描。按日期、判定、文件类型过滤。双击查看完整详情。 - **DEBUG LOG** — 浏览和搜索 `debug_log/` 中的调试日志文件。 - **REPORT BUILDER** — 使用预填部分（摘要、IOC、YARA 命中、时间线、笔记）编写自定义 Markdown 调查报告。导出为 `.md`。 - **🔄 UPDATER** — 检查 GitHub 上的新版本并自动应用更新。 ### 🔎 LOOK (Lookup, 查询) 涵盖所有静态分析和编码工具的十五个子标签页： - **Hash** — 三个嵌套标签页：**Quick Hash**（单哈希 VT 查询）、**Bulk Hash**（针对 VirusTotal 的批量哈希列表）、**Strings**（提取和搜索字符串）、**Diff**（文件差异分析器：哈希差异、大小差异、十六进制差异、文本差异）、**Extract IOC**（粘贴文本并提取所有 IOC 类型）。 - **HEX** — 完整的十六进制查看器和二进制检查器，支持搜索、偏移导航和 ASCII 面板。 - **REGEX** — 正则表达式工作台。针对文本测试模式并高亮匹配项。 - **DOC** — PDF 和 Office 文件的文档分析器。提取元数据、嵌入对象、宏、URL 和 IOC。 - **SIG** — PE 可执行文件的 Authenticode 签名验证器。显示主题、颁发者、有效期、信任链和哈希。 - **BATCH** — 批量文件哈希处理器。 - **DIFF** — 独立文件差异对比，支持并排比较和导出 HTML。 - **ARCHIV** — 归档检查器（ZIP, RAR, 7z）。列出内容、提取文件、扫描条目。 - **MACRO** — Office 宏分析器。提取并反编译 VBA 宏，标记可疑 API 调用和 IOC。 - **B64** — Base64/Hex/Base32 编码-解码器。 - **XOR** — XOR 编码-解码器，支持字节/字符串密钥。 - **BCONV** — 数字进制转换器（二进制/八进制/十进制/十六进制）。 - **JWT** — JWT 解码器。检查头信息、载荷、有效期和签名。 - **ROT** — ROT13、ROT47 和凯撒密码，支持自定义偏移和暴力破解所有 25 个值。 - **PE-HDR** — PE 头查看器。以结构化树显示 DOS 头、NT 头、节表、导入和导出。 - **UNICODE** — Unicode 检查器。码点、URL 编码/解码、HTML 实体、编码检测。 - **BINPAT** — 二进制模式搜索。在任意二进制文件中搜索十六进制模式、魔数或 ASCII 签名。 ### 🖥 PROC (Processes, 进程) 六个子标签页： - **Processes** — 实时进程列表及完整详情（PID, PPID, 名称, CPU%, 内存, 命令行）。高亮可疑进程。 - **Services** — 列出所有 Windows 服务及其状态、启动类型和二进制路径。 - **Startup Items** — 枚举 Run/RunOnce 注册表键和启动文件夹以查找持久化机制。 - **Env Variables** — 显示当前会的所有环境变量。 - **Handles** — 通过 psutil 列出所有运行进程打开的文件。按 PID 过滤。 - **🌳 Proc Tree** — 分层父子进程树。用于检测进程注入和异常衍生。 - **🗝 Registry** — 注册表扫描器。浏览和搜索注册表键以查找可疑条目。 ### 🌐 NET (Network, 网络) 七个子标签页： - **Connections** — 所有活动 TCP/UDP 连接的实时视图，包含 PID、进程名、本地和远程地址、状态。 - **URL Tools** — 跟随重定向链、展开短链接、检测恶意重定向。 - **🕵 IP/Domain Rep.** — 对任意 IP、域名或 URL 批量查询 VirusTotal + AbuseIPDB + ipinfo.io。 - **DNS** — 查询任意主机名的 A、AAAA、MX、TXT、NS、CNAME 和 PTR 记录。 - **WHOIS** — 通过端口 43 的 socket 对域名和 IP 进行 WHOIS 查询。 - **HTTP Header Inspector** — 获取任意 URL 的响应头。检查缺失的安全头（HSTS, CSP, X-Frame-Options 等）。 - **SSL/TLS Certificate Inspector** — 获取并显示任意 HTTPS 主机的 X.509 证书详情（主题、颁发者、有效期、SANs、指纹）。 - **🔌 Port Scan** — TCP 端口扫描器，具有可配置的范围和超时。 - **PCAP** — 通过 tshark 开始/停止数据包捕获。保存为 `.pcap` 文件，然后使用内置 PCAP 分析器进行分析。 ### 📝 NOTES (笔记) 四个子标签页： - **Notepad** — 持久化便笺。内容在每次击键时自动保存到 `notes.txt`。 - **MITRE ATT&CK** — 交互式 MITRE ATT&CK 技术映射器。手动添加技术或从扫描结果导入。导出为 Markdown 或 JSON。 - **TODO** — 调查任务列表，具有优先级和状态跟踪。自动保存到磁盘。 - **Snippets** — 代码片段库。保存常用命令、正则表达式模式和 IOC 模板。添加、编辑、删除和复制到剪贴板。 ### ⚙ SET (Global Settings, 全局设置) 涵盖所有可配置参数的九个子标签页： - **Interface** — 字体大小、日志最大行数、退出确认、托盘行为、启动画面、状态动画、Toast 持续时间。 - **Scan** — 最大文件大小、VT 请求延迟、超时、自动上传、自动 YARA 编译、自动报告、报告格式、哈希优先级、递归扫描、跳过空文件、自动保存 IOC、与上次扫描比较、恶意/干净时通知。 - **Privacy** — 日志和数据库保留天数、存储/匿名化文件路径和哈希。 - **Paths** — 规则、报告、调试日志、隔离区和备份的自定义路径。 - **Network** — 代理 URL/认证、请求超时、最大重试、VT 速率限制、自定义 user-agent、PCAP 捕获持续时间、DNS 超时。 - **Defense** — 自动隔离阈值、自动删除恶意文件、恶意阈值、深度扫描模式、扫描归档、熵阈值、YARA 超时、沙箱持续时间、沙箱后 VT、阻止执行、实时保护。 - **Notifications** — Toast、托盘、声音警报。每事件开关（恶意、可疑、扫描完成、YARA 命中、崩溃）。持续时间和可选的邮件/SMTP 警报。 - **Advanced** — 最大队列大小、调试模式、记录性能、GC 模式 (gen0/gen1/full)、检查点详细程度。 - **Automatic Actions** — 由扫描判定触发的自动操作（隔离、警报、运行脚本）。 ### 🔒 PROT (App Protection, 应用保护) 五个子标签页： - **🏗 Build/Destroy** — 创建或拆除 V0RTEX 保护环境。构建完整性基线，注册自我防御挂钩。 - **Protected Folders** — 定义 V0RTEX 监控未经授权更改的文件夹。 - **Integrity** — 计算并验证所有关键 V0RTEX 文件的文件哈希以检测篡改。显示已修改/缺失计数。 - **🛡 Defense** — 武装/解除实时防御引擎。武装后，监控安装文件夹并自动隔离威胁。 - **Self-Defense** — 保护 V0RTEX 进程本身不被外部进程终止或篡改。 - **💾 Backup** — 创建完整的实验室 ZIP（脚本 + 配置 + 规则 + 数据库）。如果启动时发现备份则自动恢复。 ### 🔐 CRYPT (Crypto, 加密) 五个子标签页： - **🔒 Encrypt** — 使用 AES-256-GCM、RSA 或 Vigenère 加密文件或文本。基于密码，含盐和 IV。 - **🔓 Decrypt** — 解密由 V0RTEX 生成的 `.soc_enc` 文件。自动检测算法。 - **🔍 Inspect** — 拖放或选择任意文件以检测其加密状态、计算哈希并验证完整性。 - **🔏 Hash** — 从文本或文件输入生成并验证 MD5/SHA-1/SHA-256/SHA-512/CRC32。 - **🔡 Vigenère** — 多表密码编码器/解码器，使用关键字。 ### ⚠ DZ (Danger Zone, 危险区) 需要谨慎使用的强大破坏性和诊断工具集合。包括： - **Clear Logs** — 擦除所有调试和操作日志。 - **Factory Reset** — 删除所有数据（数据库、报告、YARA 规则、配置、日志、白名单）。不可逆。 - **Secure Wipe** — 删除前用零覆盖文件。 - **System Info** — 显示系统路径、Python 信息、已安装的包和资源使用情况。 - **Open Log Folder** — 在资源管理器中打开 `debug_log/`。 - 各种低级诊断和清理实用程序。 ## 恢复界面 V0RTEX 内置了 **Recovery Terminal**，当启动时关键文件丢失或损坏，或在主界面加载前检测到崩溃时，它会自动激活。 ### 触发条件 - 一个或多个嵌入模块文件（`modules/pe_analysis.py`, `modules/cuckoo_api.py`, `modules/secret_scanner.py`, `modules/wireshark.py`）在 `BASE_DIR` 中缺失 - `config.json` 损坏、不可读或包含无效 JSON - `scan_history.db` 缺失或架构损坏 - 在主窗口显示之前发生未处理的异常 ### 恢复终端结构 Recovery Terminal 是一个完全独立的 Tkinter 窗口，拥有自己的包含六个标签页的 notebook： #### >_ Terminal 功能齐全的嵌入式命令行。直接输入任何 Windows shell 命令。包含一个 **QUICK CMDS** 面板，提供最常用恢复操作（`pip list`, `python --version`, `dir`, `netstat` 等）的一键快捷方式。提示符显示当前工作目录并在 `cd` 命令后更新。输出经过颜色编码（stdout、stderr、系统消息）。 #### 💥 Crash Log 显示上次会话的完整崩溃日志（如果存在）。显示异常类型、包含文件和行号的回溯、Python 版本、平台和 PID。包含将完整日志 **Copy** 到剪贴板和在资源管理器中 **Open Log Folder** 的按钮。如果不存在崩溃日志，显示消息 `No crash log found`。 #### 📋 File Check 扫描 V0RTEX 安装目录并验证所有预期文件的存在和完整性：`v0rtex.py`、`config.json`、`scan_history.db`、`whitelist.txt`、`notes.txt`、`requirements.txt`、所有 `modules/` 文件、`rules/` 目录、`reports/` 目录、`debug_log/` 目录和 `backups/` 目录。每个条目显示 ✓ present 或 ✗ missing。按钮：**Run Check**、**Copy Results**。 #### 🔧 Repair 主要的恢复主力。包含以下修复操作： | 按钮 | 功能 | |--------|-------------| | **Recreate Critical Files & Dirs** | 从脚本中重新提取所有嵌入文件（模块、配置、数据库架构、白名单、笔记、requirements.txt、`launch.bat`）。创建缺失目录。这是针对任何启动故障的首选操作。 | | **Reset config.json** | 写入出厂默认 `config.json`。尝试通过先读取损坏的文件来保留现有的 API 密钥。 | | **Repair DB Schema** | 打开 `scan_history.db` 并重新创建任何缺失的表或列，而不触及现有扫描记录。即使在部分健康的数据库上运行也是安全的。 | | **Install / Repair Packages** | 使用多种回退策略为所有必需包运行完整的 pip install 循环：批量安装 → 单包安装 → `--user` → 系统 Python 回退。如果 `yara-python` 失败，还会尝试安装 Microsoft C++ Build Tools。 | | **Restore from Backup** | 打开文件选择器以选择 V0RTEX 备份 `.zip`。将配置、数据库、规则、白名单和笔记解压到 `BASE_DIR`。除非备份中明确包含，否则不会覆盖 `v0rtex.py`。 | 所有修复操作将其输出实时流式传输到标签页左侧的日志面板。 #### 💾 Backup 从安装目录的当前状态创建新的备份 ZIP。备份包括 `v0rtex.py`、`config.json`、`scan_history.db`、`whitelist.txt`、`notes.txt` 和整个 `rules/` 文件夹。保存到 `backups/` 并带时间戳。同时列出现有备份及其大小和日期。 #### 🩺 Diagnostics 跨四个区域运行自动检查： | 检查 | 描述 | |-------|-------------| | **Dependency Check** | 导入每个必需包并报告版本。用安装建议标记缺失或损坏的包。 | | **YARA Rules** | 编译 `rules/` 和 `rules/external/` 中的所有 `.yar`/`.yara` 文件。报告每个文件的语法错误及行号。 | | **Running Processes** | 列出当前运行的所有 Python 进程以检测卡住的 V0RTEX 实例。 | | **Network** | 测试互联网连接，解析 `8.8.8.8` 的 DNS，如果配置了密钥则检查 VirusTotal API 可达性。 | #### 🧹 Clean 移除孤立和临时文件：陈旧的 `_v0rtex_relaunch.py` 跳板文件、空日志目录、`__pycache__` 文件夹、`.pyc` 文件和残留的临时安装脚本。 #### 🌐 Network 快速网络测试面板。检查一般互联网连接、DNS 解析、代理配置和 VirusTotal API 访问。结果显示在带有延迟测量的颜色编码输出中。 ### 如何使用恢复终端 **场景 1 — V0RTEX 立即关闭：** ``` python v0rtex.py ``` 如果出现恢复终端，转到 **🔧 Repair** → 点击 **Recreate Critical Files & Dirs**。等待日志显示所有 ✓。然后点击 **Repair DB Schema**。关闭恢复终端并重新启动。 **场景 2 — 每次启动时 YARA 被禁用：** 转到 **🔧 Repair** → **Install / Repair Packages**。安装程序将尝试使用 Build Tools 编译 `yara-python`。如果缺少 Build Tools，它将自动安装（需要互联网连接和约 5–15 分钟）。 **场景 3 — config.json 损坏：** 转到 **🔧 Repair** → **Reset config.json**。如果 JSON 部分可读，您的 API 密钥将被保留。 **场景 4 — 数据库错误：** 转到 **🔧 Repair** → **Repair DB Schema**。这将重新创建缺失的表而不删除扫描历史。 **场景 5 — 未知崩溃：** 转到 **💥 Crash Log**，复制完整的回溯信息，并打开一个 GitHub Issue。 ## 故障排除 | 问题 | 修复方法 | |---------|-----| | **窗口打开后立即关闭** | 从终端运行 (`python v0rtex.py`)。如果出现恢复终端，使用 **Recreate Critical Files** | | **启动时出现 `KeyError`** | `config.json` 损坏 — 恢复终端 → Reset config.json | | **`Invalid column index` 崩溃** | 从仓库下载最新的 `v0rtex.py` | | **YARA 不工作 / 被禁用** | 恢复终端 → Install / Repair Packages。或手动操作：`winget install Microsoft.VisualStudio.2022.BuildTools` 然后 `pip install yara-python` | | **VirusTotal 未返回结果** | CFG → API KEYS — 验证密钥。免费层：500 次请求/天 | | **tshark / 网络捕获缺失** | 从 [wireshark.org](https://www.wireshark.org/) 安装 Wireshark 并确保其位于 PATH 中 | | **设置因管理员错误崩溃** | 右键点击 `v0rtex.py` → *以管理员身份运行* | | **YARA 规则下载 0 个文件** | 某些仓库（如 Avast）使用按家族分类的子目录 — 手动将 `.yar`/`.yara` 文件放入 `rules/` | **启动时内存占用高** | 后台 YARA 编译正在运行 — 等待 30–60 秒 | | **每次启动都出现恢复终端** | 杀毒软件正在删除模块文件 — 将安装文件夹添加到 Windows Defender 排除项（由设置自动完成） | | **每次启动都出现崩溃报告窗口** | 检查 `debug_log/crash_log.txt` 中的回溯信息并打开一个 GitHub Issue | ## 依赖项 由设置向导自动安装： ``` requests · psutil · pefile · yara-python · pywin32 · Pillow cryptography · scapy · python-whois · dnspython · matplotlib tkinterdnd2 · fpdf2 · watchdog · pystray · reportlab ``` 同样会自动安装： - **Microsoft C++ Build Tools** — 从源码编译 `yara-python` 所需 - **Wireshark/tshark** — 网络捕获（可选，设置期间会提示） ## 许可证 Copyright © 2024-2025 Vider_06 — All rights reserved. 禁止重新分发、转售和重新打包。 完整条款请见 [LICENSE](./LICENSE)。 如果你正在读这个... 你为什么会读完所有这些内容，伙计 好吧，试试看并向我报告错误或其他任何事 - Vider_06

标签：AES-256, Ask搜索, ATT&CK映射, Beacon Object File, DAST, DeepSeek, DNS信息、DNS暴力破解, DNS 反向解析, DNS 解析, HTTP工具, HybridAnalysis, IOC提取, IP 地址批量处理, MalwareBazaar, Mr. Robot, PE文件分析, Python安全工具, SQLite, Tkinter, VirusTotal, Windows安全工具, YARA规则, 主机防御, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 后渗透, 威胁情报, 安全分析平台, 密码学工具, 开发者工具, 恶意软件分析, 搜索语句（dork）, 无线安全, 沙箱技术, 流量嗅探, 漏洞评估, 熵值分析, 病毒扫描, 网络信息收集, 网络安全审计, 逆向工程, 速率限制处理, 静态分析