Loupe-tools/Loupe

# 🕵🏻 放大镜 **一款100%离线、单一文件的安全分析工具，用于检查可疑文件。** 无需服务器，无需上传，无需追踪 —— 只需放置文件并检查即可。    

Loupe — drop a file, inspect it safely, entirely in your browser.

## 📑 目录 - [为什么选择放大镜？](#-why-loupe) - [快速开始](#-quick-start) - [功能特性](#-features) - [亲自试用](#-try-it-yourself) - [局限性](#-limitations) - [安全模型](#-security-model) - [浏览器兼容性](#-browser-compatibility) - [参与贡献](#-get-involved) ## 🤔 为什么选择放大镜？ SOC分析师、事件响应人员以及注重安全的用户需要一种安全检查可疑文件的方式，而无需将其上传到第三方服务或启动沙箱。放大镜完全在浏览器中运行 —— **任何内容都不会离开你的设备**。 - **零网络访问** — 严格的内容安全策略（CSP）阻止所有外部请求。 - **单一HTML文件** — 无需安装、无依赖，在任何现代浏览器和操作系统上均可运行。 - **广泛的格式支持** — 支持Office文档、PDF、邮件、压缩包、图像、脚本等。 ## 🚀 快速开始 [⬇️ **下载最新版本的 loupe.html**](https://github.com/Loupe-tools/Loupe/releases/latest/download/loupe.html) 1. **下载** — 从上方链接获取 `loupe.html`，或克隆仓库并打开 `docs/index.html`。 2. **打开** — 双击文件或在任意现代浏览器（Chrome、Firefox、Edge、Safari）中打开，无需服务器。 3. **放置文件** — 将可疑文件拖放到放置区域，点击 **📁 打开文件**，或使用 **Ctrl+V** 粘贴。 4. **检查** — 文件将在查看器中渲染。按 **S** 切换安全侧边栏，查看风险评估、IOC 和 YARA 匹配结果。按 **Y** 打开 YARA 规则编辑器。使用 **🌙** 切换主题。 ## 🛡 功能特性 ### 支持的格式 | 类别 | 扩展名 | |---|---| | **现代Office** | `.docx` `.docm` `.xlsx` `.xlsm` `.pptx` `.pptm` `.ods` | | **旧版Office** | `.doc` `.xls` `.ppt` | | **OpenDocument** | `.odt`（文本）· `.odp`（演示） | | **RTF** | `.rtf` — 文本提取 + OLE/漏洞利用分析 | | **PDF** | `.pdf` | | **邮件** | `.eml` `.msg` | | **HTML** | `.html` `.htm` `.mht` — 沙箱预览 + 源码查看 | | **压缩包** | `.zip` `.gz` `.tar` `.tar.gz`/`.tgz` `.rar` `.7z` `.cab` — 内容列表、威胁标记、可点击条目提取、gzip解压、TAR解析、ZipCrypto解密、不支持格式的十六进制转储 | | **磁盘镜像** | `.iso` `.img` — ISO 9660 文件系统列表 | | **OneNote** | `.one` — 嵌入对象提取 + 钓鱼检测 | | **Windows** | `.lnk`（Shell 链接）· `.hta`（HTML 应用程序）· `.url` `.webloc`（网络快捷方式）· `.reg`（注册表）· `.inf`（安装信息）· `.sct`（脚本组件）· `.msi`（安装程序）· `.exe` `.dll` `.sys` `.scr` `.cpl` `.ocx` `.drv`（PE 可执行文件） | | **Linux / IoT** | ELF 二进制文件（`.so` 共享库、`.o` 目标文件、无扩展名可执行文件）— 支持 ELF32/ELF64，大小端模式 | | **macOS** | Mach-O 二进制文件（`.dylib` 动态库、`.bundle` 插件、无扩展名可执行文件、Fat/Universal）— 支持 32/64 位 | | **macOS 脚本** | `.applescript` `.scpt` `.jxa`（AppleScript 源码、编译后的 AppleScript、JavaScript for Automation）— 源码显示、编译后二进制字符串提取、macOS 特定安全分析 | | **macOS 属性列表** | `.plist`（XML 与二进制 plist）— 树形视图、可展开嵌套结构、LaunchAgent/守护进程检测、持久化键分析、可疑模式标记、21 条 plist 威胁 YARA 规则 | | **证书** | `.pem` `.der` `.crt` `.cer`（X.509 证书）· `.p12` `.pfx`（PKCS#12 容器） | | **Java** | `.jar` `.war` `.ear`（Java 归档）· `.class`（Java 字节码）— MANIFEST.MF 解析、类文件分析、常量池字符串提取、依赖分析 | | **脚本** | `.wsf` `.wsc` `.wsh`（Windows 脚本文件）· `.vbs` `.ps1` `.bat` `.cmd` `.js` | | **取证** | `.evtx`（Windows 事件日志）· `.sqlite` `.db`（SQLite — 自动检测 Chrome/Firefox/Edge 历史记录） | | **数据** | `.csv` `.tsv` · `.iqy`（网络查询）· `.slk`（符号链接） | | **图像** | `.jpg` `.jpeg` `.png` `.gif` `.bmp` `.webp` `.ico` `.tif` `.tiff` `.avif` — 预览 + 隐写术/多态检测 | | **SVG** | `.svg` — 沙箱预览 + 源码查看、深入的 SVG 安全分析（脚本提取、foreignObject/form 检测、事件处理程序、数据 URI 载荷、animate href 操纵、XXE、混淆） | | **兜底** | *任意文件* — 带行号的纯文本视图，或二进制数据的十六进制转储 | ### 安全分析 | 功能 | 说明 | |---|---| | **风险评估** | 颜色标识的风险条（低 / 中 / 高 / 严重）以及发现摘要 | | **文档搜索** | 工具栏内搜索，支持匹配高亮、匹配计数，以及 `Enter`/`Shift+Enter` 导航（`Ctrl+F` 聚焦） | | **YARA 规则引擎** | 浏览器内 YARA 规则解析与匹配 — 加载/编辑/保存 `.yar` 规则，支持文本、十六进制和正则字符串匹配。内置默认规则并在文件加载时自动扫描 | | **文件哈希** | 在浏览器中计算 MD5 · SHA-1 · SHA-256，并支持一键 VirusTotal 查询 | | **IOC 提取** | 从文档内容和 VBA 源码中提取 URL、电子邮件地址、IP 地址、文件路径和 UNC 路径 | | **VBA / 宏分析** | 提取并语法高亮 VBA 源码；标记自动执行入口点（`AutoOpen`、`Workbook_Open`、`Shell` 等） | | **宏下载** | 将解码后的 VBA 下载为 `.txt`，或下载原始 `vbaProject.bin` 以便离线使用 olevba / oledump 分析 | | **PDF 扫描** | 通过 YARA 规则检测 `/JavaScript`、`/OpenAction`、`/Launch`、`/EmbeddedFile`、URI、XFA 表单等高风险操作 | | **EML / 邮件分析** | 完整的 RFC 5322/MIME 解析 — 头部、多部分正文、附件、SPF/DKIM/DMARC 验证结果、追踪像素检测 | | **LNK 检查** | MS-SHLINK 二进制解析器 — 目标路径、参数、时间戳、危险命令检测、 凭证窃取模式 | | **HTA 分析** | 脚本提取、`` 属性解析、混淆检测、40+ 可疑模式检查 | | **脚本扫描** | 通用查看器扫描 `.vbs`、`.ps1`、`.bat`、`.rtf` 等脚本类型，查找危险执行模式并进行 YARA 匹配 | | **图像分析** | 隐写术指标、多态文件检测、十六进制头检查以识别嵌入载荷 | | **EVTX 分析** | 解析 Windows 事件日志二进制格式（ElfFile 头、块、BinXml 记录）；提取事件 ID、级别、提供者、通道、计算机、时间戳和事件数据；标记可疑事件（4688、4624/4625、1102、7045、4104）；提取 IOC：用户名（`DOMAIN\User`）、主机名、IP、进程路径、命令行、哈希值、URL、文件/UNC 路径；可复制/下载为 CSV | | **SQLite / 浏览器历史** | 读取 SQLite 二进制格式（B-tree 页、模式、单元格数据）；自动检测 Chrome/Edge/Firefox 历史数据库；提取 URL、标题、访问次数、时间戳；通用表浏览器支持非历史 SQLite 文件；可复制/下载为 CSV | | **PE / 可执行文件分析** | 解析 PE32/PE32+（EXE、DLL、SYS 等）— DOS/COFF/可选头、节表（含熵分析）、导入表（标记约 140 个可疑 API 的导入）、导出、资源、Rich 头、字符串提取；安全特性检测（ASLR、DEP、CFG、SEH、Authenticode）；27 条 YARA 规则用于打包器（UPX、Themida、VMProtect）、恶意软件工具包（Cobalt Strike、Mimikatz、Metasploit）以及可疑 API 模式 | | **ELF / Linux 二进制分析** | 解析 ELF32/ELF64（LE/BE）— ELF 头、程序头（段）、节头、动态链接（NEEDED 库、SONAME、RPATH/RUNPATH）、符号表（导入/导出符号标记）；安全特性检测（RELRO、Stack Canary、NX、PIE、FORTIFY_SOURCE、RPATH/RUNPATH）；17 条 YARA 规则用于 Mirai 僵尸网络、加密货币矿工、反向 Shell、LD_PRELOAD 劫持、Rootkit、容器逃逸和打包二进制文件 | | **Mach-O / macOS 二进制分析** | 解析 Mach-O 32/64 位及 Fat/Universal 二进制 — 头、加载命令、带熵的段、符号表（标记约 30 个 macOS API 的导入/导出）、动态库、RPATH、代码签名（CodeDirectory、授权、CMS）、LC_BUILD_VERSION；安全特性检测（PIE、NX 栈/堆、Stack Canary、ARC、代码签名、Hardened Runtime、库验证、加密）；18 条 YARA 规则用于 macOS 窃取工具（Atomic、AMOS）、反向 Shell、RAT、权限提升、持久化（LaunchAgent/LoginItem）、反调试/虚拟机检测和打包二进制文件 | | **X.509 证书分析** | 解析 PEM/DER X.509 证书和 PKCS#12 容器 — 主题/颁发者 DN、有效期限、公钥详情（算法、密钥大小、曲线）、扩展（SAN、密钥用法、扩展密钥用法、基本约束、AKI/SKI、CRL 分发点、授权信息访问、证书策略）、序列号、签名算法、SHA-1/SHA-256 指纹；标记自签名证书、已过期/未生效、弱密钥（<2048 位 RSA）、弱签名算法（SHA-1/MD5）、有效期过长、缺少 SAN、嵌入私钥；可从 SAN 提取 IOC、CRL/AIA URI | | **JAR / Java 分析** | 解析 JAR/WAR/EAR 归档和独立 `.class` 文件 — Java 类文件头（魔数、版本、常量池）、MANIFEST.MF（含 Main-Class 和权限）、类列表（含包树）、依赖提取、常量池字符串分析（标记约 45 个可疑 Java API 模式：反序列化、JNDI、反射、命令执行、网络通信）映射到 MITRE ATT&CK；混淆检测（Allatori、ZKM、ProGuard、短名称启发式）；可点击提取内部文件；18 条 YARA 规则用于反序列化小工具、JNDI 注入、反向 Shell、RAT 模式、加密货币矿工、安全管理器绕过和凭证窃取 | | **SVG 安全分析** | 将 SVG 解析为 XML（正则回退）— 提取嵌入的 `