COOLXPLO/CyDrit-Cyber-Defense-Threat-Intelligence

# CyDrit — 网络防御与威胁情报 ``` ██████╗██╗ ██╗██████╗ ██████╗ ██╗████████╗ ██╔════╝╚██╗ ██╔╝██╔══██╗██╔══██╗██║╚══██╔══╝ ██║ ╚████╔╝ ██║ ██║██████╔╝██║ ██║ ██║ ╚██╔╝ ██║ ██║██╔══██╗██║ ██║ ╚██████╗ ██║ ██████╔╝██║ ██║██║ ██║ ╚═════╝ ╚═╝ ╚═════╝ ╚═╝ ╚═╝╚═╝ ╚═╝ ```     ## ⚠️ 免责声明 本项目**严格仅供教育用途、授权的安全研究以及受控的实验环境使用**。 仅可用于以下场景： - 个人虚拟实验室 - CTF 平台 - 你拥有所有权或被明确授权进行测试的系统 - 网络安全课程与学习环境 ## CyDrit 是什么？ CyDrit 是一个基于 Python 的**防御性安全工具包**，它将钓鱼 URL 检测、文件级别的恶意软件静态分析以及目录威胁扫描整合到了一个防病毒风格的终端应用程序中。 它的构建旨在帮助安全学习者和研究人员： - 了解如何识别钓鱼基础设施 - 学习恶意软件静态分析技术 - 自动化威胁检测启发式分析 - 实践基于 Python 的防御性安全工具开发 ## 功能特性 ### 🔗 URL / 钓鱼分析器 | 检查项 | 描述 | |---|---| | DNS 情报 | A、MX、NS、TXT 记录查询 | | WHOIS / 域名年龄 | 标记新注册的域名 | | SSL 证书检查 | 颁发者、到期时间、SANs | | 重定向链追踪 | 检测多跳重定向滥用 | | 品牌冒充 | 识别针对主要品牌的域名抢注 | | URL 结构异常 | IP 作为域名、`@` 技巧、异常端口、长域名 | | 钓鱼关键字扫描 | 30 多个凭据盗窃关键字 | | 凭据表单检测 | 密码/银行卡输入窃取 | | 外部端点映射 | JavaScript 和内联 URL 发现 | | IP 情报 | 通过 ipinfo.io 查询托管组织、国家、ASN | | TLD 风险评分 | `.tk`、`.xyz`、`.club`、`.top` 等 | | 威胁评分 | 0–100% 的概率得分及风险因素 | ### 🦠 文件扫描器 (静态分析) | 检查项 | 描述 | |---|---| | 文件哈希 | MD5、SHA1、SHA256 | | Magic Byte 检测 | 从头部字节识别真实文件类型 | | 熵值分析 | 检测加壳、混淆或加密内容 | | 恶意字符串匹配 | 20 多个已知恶意软件签名 | | 嵌入式 URL 提取 | 查找文件内的 C2 或 payload URL | | 高危扩展名标记 | `.exe`、`.bat`、`.ps1`、`.vbs`、`.hta` 等 | ### 📁 目录扫描器 - 批量扫描整个文件夹 - 根据扩展名和嵌入的签名标记文件 - 包含威胁计数的总结报告 ### 🗃️ 其他 - **隔离日志** — 自动将高风险检测结果记录到 JSON - **报告导出** — 将完整的 JSON 报告保存到 `cydrit_reports/` - **扫描历史** — 在 `cydrit_scan.log` 中追加日志 - **文件哈希器** — 从菜单快速生成 MD5/SHA1/SHA256 ## 安装说明 ### 前置条件 - Python 3.8 或更高版本 - pip ### 克隆与安装 ``` git clone https://github.com/iamunknown77/cydrit.git cd cydrit pip install -r requirements.txt ``` ## 用法 ### 🪟 Windows 双击 `launch.bat` **或者**从命令提示符运行： ``` launch.bat ``` CLI 模式 (跳过菜单)： ``` launch.bat url https://suspicious-site.com launch.bat file C:\Downloads\setup.exe launch.bat dir C:\Users\User\Downloads ``` ### 🐧 Linux / macOS 赋予脚本可执行权限，然后运行： ``` chmod +x launch.sh ./launch.sh ``` CLI 模式： ``` ./launch.sh url https://suspicious-site.com ./launch.sh file /home/user/malware.bin ./launch.sh dir /tmp/suspicious_folder ``` ### 🐍 直接使用 Python (任何平台) ``` # Interactive menu python cydrit.py # CLI mode python cydrit.py url https://example.com python cydrit.py file ./suspicious.exe python cydrit.py dir ./folder ``` ## 菜单概览 ``` ╔══════════════════════════════════════════════╗ ║ 1 Scan a URL / Phishing Analysis ║ ║ 2 Scan a File (malware static analysis) ║ ║ 3 Scan a Directory ║ ║ 4 View Quarantine Log ║ ║ 5 Hash a File ║ ║ 0 Exit ║ ╚══════════════════════════════════════════════╝ cydrit > _ ``` ## 输出文件 | 文件 | 描述 | |---|---| | `cydrit_reports/` | JSON 扫描报告 (每次扫描生成一个) | | `cydrit_scan.log` | 所有扫描的追加日志 | | `cydrit_quarantine.json` | 高风险检测结果 (得分 ≥ 40%) | ## 威胁评分 | 得分 | 等级 | 含义 | |---|---|---| | 0–14% | 🟢 大致安全 | 未发现显著指标 | | 15–39% | 🔵 低风险 | 有轻微风险标记，可能是良性的 | | 40–69% | 🟡 可疑 | 存在多个指标 —— 需要调查 | | 70–100% | 🔴 高风险 | 存在强烈的钓鱼或恶意软件信号 | ## 依赖项 ``` requests — HTTP requests and redirect tracing python-whois — Domain registration / age lookup dnspython — DNS record resolution beautifulsoup4 — HTML parsing for form detection rich — Terminal UI, tables, progress bars ``` 一次性全部安装： ``` pip install -r requirements.txt ``` ## 项目结构 ``` cydrit/ ├── cydrit.py # Main tool ├── launch.bat # Windows launcher ├── launch.sh # Linux / macOS launcher ├── requirements.txt # Python dependencies ├── README.md # This file ├── LICENSE # MIT License ├── cydrit_reports/ # Auto-created on first scan ├── cydrit_scan.log # Auto-created on first scan └── cydrit_quarantine.json # Auto-created on first detection ``` ## 为什么选择 CyDrit？ 钓鱼和恶意软件投递仍然是目前最常见的攻击媒介之一。CyDrit 作为一个实践学习项目被构建出来，旨在探索： - 钓鱼基础设施是如何被指纹识别的 - 哪些静态指标能揭示恶意文件 - 自动化启发式分析如何辅助威胁分类 - 如何使用 Python 构建实用的防御性安全工具 ## 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。 ## 作者 **iamunknown77** 为学习、防御和开放安全研究而构建。 *CyDrit 是一款防御性工具。请负责任地使用它。*

标签：CLI, DAST, Go语言工具, IP 地址批量处理, Python, TLS, URL扫描, WiFi技术, 云安全监控, 威胁情报, 威胁评分, 安全工具包, 开发者工具, 恶意软件分析, 文件分析, 无后门, 网络安全, 网络安全教育, 逆向工具, 钓鱼检测, 防御工具, 隐私保护, 静态分析, 黑客技术