CaHHaL/ThreatGuard-Advanced-Malware-URL-Threat-Platform

# 🛡️ ThreatGuard: 高级恶意软件与 URL 威胁平台 **ThreatGuard** 是一个生产级的 Web 平台，专为安全研究人员和 SOC 分析师设计，用于对文件进行深度静态分析并识别恶意 URL。它将多个扫描引擎、基于签名的检测和外部威胁情报整合到一个高性能、异步的仪表板中。 ## 🚀 核心功能 ### 📁 文件分析引擎 * **静态 PE 解析：** 深度检查可移植可执行文件（EXE/DLL）的头部、节区和导入/导出表。 * **YARA 集成：** 使用高级 YARA 规则对已知恶意软件家族进行基于自定义签名的检测。 * **威胁指标提取 (IOCs)：** 自动从文件中提取嵌入的 URL、IP 地址和注册表键。 * **熵值计算：** 针对每个节区的熵值分析，用于检测加壳或加密的恶意载荷。 * **VirusTotal 情报：** 针对 70 多个杀毒引擎进行即时哈希查询。 ### 🔗 URL 威胁情报 * **SSL/TLS 验证：** 实时证书验证（颁发者、有效期和安全标志）。 * **域名 WHOIS：** 识别常用于网络钓鱼的“年轻”或可疑域名。 * **钓鱼检测：** 启发式关键词分析和域名结构检查。 * **重定向映射：** 跟踪并可视化整个重定向链，以找到最终的恶意目的地。 ### 📊 安全仪表板与报告 * **实时指标：** 使用 Recharts 对风险趋势和检测率进行实时可视化。 * **动态风险评分：** 基于加权威胁信号的算法计算（0–100）。 * **PDF 导出：** 专业、可下载的威胁报告，用于合规和内部共享。 * **扫描历史：** 完整审计所有过去的用户活动，支持分页历史记录和过滤器。 ## 🛠️ 技术栈 | 层级 | 技术 | | :--- | :--- | | **Backend** | Python 3.9+, Django, Django REST Framework, Celery | | **Frontend** | React 18, Vite, Axios, Recharts, Lucide Icons | | **Database** | PostgreSQL (Primary), Redis (Message Broker) | | **Analysis** | `pefile`, `yara-python`, `python-whois`, `weasyprint` | | **Auth** | JWT (SimpleJWT) with Refresh Token Rotation | ## ⚙️ 安装与设置 ### 1. 前置条件 * Python 3.9+ 和 Node.js 18+ * Redis 服务器（运行在 `localhost:6379`） * PostgreSQL（或用于本地快速测试的 SQLite） ### 2. 后端设置 ``` cd backend python -m venv venv source venv/bin/activate # On Windows: .\venv\Scripts\activate pip install -r requirements.txt # 设置环境 cp .env.example .env # Update your VIRUSTOTAL_API_KEY in .env # 数据库 & Admin python manage.py migrate python manage.py createsuperuser # Optional python manage.py runserver ``` ### 3. Celery Worker（后台任务） 在新终端中： ``` cd backend # Windows: celery -A malware_platform worker --loglevel=info -P eventlet # Linux/Mac: celery -A malware_platform worker --loglevel=info ``` ### 4. 前端设置 在新终端中： ``` cd frontend npm install npm run dev ``` ## 📖 使用指南 ### **步骤 1：入门** * 访问 `http://localhost:5173`。 * 注册一个新账户或使用登录标签页登录。 ### **步骤 2：扫描文件** * 转到 **File Scanner** 页面。 * 拖放可执行文件（EXE、DLL）或文档（PDF、ZIP）。 * 观察实时扫描阶段进度（Hashing → PE Analysis → YARA → VirusTotal）。 * 点击 **View Full Report** 查看深度分析。 ### **步骤 3：分析 URL** * 转到 **URL Scanner** 页面。 * 粘贴可疑链接（例如 `http://login-verify-paypal.me`）。 * 系统将解析 IP、检查 SSL 状态并计算风险评分。 ### **步骤 4：监控仪表板** * 检查 **Dashboard** 以获取安全态势的高层视图。 * 查看“Risk Distribution”以了解您的历史记录中检测到了多少恶意项目。 ### **步骤 5：导出结果** * 从任何扫描结果页面或 **History** 表格中，点击 **PDF** 图标。 * 系统将生成一份适合与安全团队共享的品牌报告。 ## 📁 项目结构 ``` . ├── backend/ │ ├── scanner/ # File analysis modules & tasks │ ├── url_scanner/ # URL analysis logic & WHOIS checks │ ├── accounts/ # Auth, User Profile, & Dashboard API │ ├── reports/ # PDF generation service & templates │ ├── malware_platform/ # Global settings & URLs │ └── requirements.txt # Python dependencies ├── frontend/ │ ├── src/ │ │ ├── api/ # Axios config & interceptors │ │ ├── components/ # Reusable UI (Badges, Sections, etc.) │ │ ├── context/ # AuthProvider (JWT handling) │ │ └── pages/ # Full page views │ ├── package.json # Frontend dependencies │ └── index.html # Entry point └── README.md # You are here ``` ## 🔒 安全免责声明 *ThreatGuard 仅用于教育和安全研究目的。请勿上传敏感或专有信息。平台分析是静态的；文件永远不会被执行。*

标签：Celery, DAST, DeepSeek, Django, DNS信息、DNS暴力破解, DNS 反向解析, IOC提取, IP 地址批量处理, PDF报告生成, PE文件解析, Python, React, SOC工具, SSL证书验证, Syscalls, URL扫描, VirusTotal集成, WHOIS查询, YARA规则, 云安全监控, 协议探测, 威胁情报, 威胁搜寻, 安全仪表盘, 安全合规, 开发者工具, 恶意域名检测, 恶意软件分析, 搜索引擎查询, 文件签名, 无后门, 沙箱检测, 测试用例, 漏洞发现, 熵值分析, 结构化查询, 网络代理, 网络安全, 网络钓鱼检测, 自动化安全, 逆向工具, 重定向追踪, 隐私保护, 静态分析