BardSec/pcap-bloodhound

# PCAP Bloodhound 一款通过可视化仪表板分析 Wireshark 数据包捕获的桌面威胁搜寻工具。无需命令行专业知识。 ## 功能特性 ### 威胁搜寻 - **C2 Beaconing 检测** — 通过变异系数分析识别植入程序心跳 - **DNS 隧道** — 对查询熵进行评分，标记长子域名，检测可疑记录类型 - **NTLM 哈希提取** — 解析 NTLMSSP 交换，输出 Hashcat 模式 5600 格式 - **明文凭据** — 检测 HTTP Basic Auth、FTP、SMTP AUTH LOGIN、表单 POST 密码 - **数据泄露画像** — 标记超过 1 MB 的高不对称出站流量 ### 网络故障排查 - **连接失败** — TCP 重置、ICMP 不可达、静默丢弃的 SYN - **DNS 健康状况** — NXDOMAIN、SERVFAIL、超时、慢速查询（>500ms） - **TLS/SSL 检查** — SNI 提取、证书解析、SSL 检查产品检测 - **流量时间线** — 每秒数据包/字节数、峰值检测、主要会话 ## 下载 从 [Releases](https://github.com/BardSec/pcap-bloodhound/releases) 下载最新版本。 - **macOS**: `PCAP Bloodhound.app` - **Windows**: 即将推出 ## 从源码构建 ### 前置条件 - Python 3.12+ - pip ### 安装依赖 ``` python3 -m venv venv source venv/bin/activate pip install -r requirements.txt ``` ### 从源码运行 ``` python -m app.main ``` ### 构建独立应用程序 ``` pyinstaller build/bloodhound.spec ``` `.app` 包将位于 `dist/` 中。 ## 使用方法 1. 打开应用程序 2. 点击侧边栏中的 **Open PCAP File** 3. 选择 `.pcap`、`.pcapng` 或 `.cap` 文件 4. 等待分析完成（进度显示在侧边栏中） 5. 浏览 9 个分析器标签页的结果 6. 点击 **Export JSON** 保存完整结果（包含用于 IR 的原始凭据） ## 技术栈 - **Python 3.12** — 核心语言 - **PySide6 (Qt 6)** — 桌面 GUI 框架 - **Scapy** — 数据包解析和协议分析 - **QtCharts** — 交互式数据可视化 - **PyInstaller** — 独立二进制打包 ## 许可证 MIT

标签：AMSI绕过, C2检测, DNS隧道, IP 地址批量处理, NTLM提取, PCAP分析, PySide6, Python, Scapy, Wireshark, 互联网扫描, 凭据窃取, 句柄查看, 可视化仪表盘, 威胁检测, 数据渗出, 无后门, 桌面应用, 漏洞挖掘, 网络安全, 逆向工具, 隐私保护