MohammedRoshanT/vexscan
GitHub: MohammedRoshanT/vexscan
一款命令行威胁情报工具,聚合多个 OSINT 数据源并通过 AI 生成结构化威胁分析报告。
Stars: 0 | Forks: 0
# VexScan 🔍
VexScan 是一款命令行威胁情报工具,可从多个 OSINT 来源聚合数据,并通过 AI 分析师运行,在数秒内生成结构化的威胁报告。
## 功能简介
给定一个 IP 地址、域名或文件哈希,VexScan 将:
1. 查询 **VirusTotal** 以获取恶意软件引擎检测结果和信誉评分
2. 查询 **AbuseIPDB** 以获取滥用置信度评分和历史报告
3. 查询 **Shodan** 以获取开放端口、运行服务及已知 CVE
4. 将所有结果输入至 **Groq AI (Llama 3.3 70B)** 进行分析
5. 输出包含 MITRE ATT&CK 映射的结构化威胁报告
6. 将报告在本地保存为 JSON 或 TXT 文件
## 演示
```
╭──────────────────────────────────── OSINT Threat Intelligence ────────────────────────────────────╮
│ VexScan | Target: malware.wicar.org | Type: DOMAIN │
╰───────────────────────────────────────────────────────────────────────────────────────────────────╯
✓ VirusTotal → Malicious: 14 | Suspicious: 1
╭──────────────────────────────────────── AI Threat Analysis ───────────────────────────────────────╮
│ THREAT VERDICT: Malicious │
│ RISK SCORE: 80 │
│ │
│ KEY FINDINGS: │
│ • 14 VirusTotal engines flagged domain as malicious │
│ • Reputation score: -59 (highly malicious) │
│ • Likely used for malware distribution or C2 communications │
│ │
│ ANALYST RECOMMENDATION: │
│ Block access to this domain immediately. Implement firewall rules and monitor │
│ for any existing connections. │
│ │
│ MITRE ATT&CK MAPPING: │
│ • T1189 – Drive-by Compromise │
│ • T1071 – Application Layer Protocol (C2) │
│ • T1190 – Exploit Public-Facing Application │
╰───────────────────────────────────────────────────────────────────────────────────────────────────╯
Report saved → reports/malware_wicar_org_20260516_142301.json
```
## 安装说明
```
# Clone the repository
git clone https://github.com/MohammedRoshanT/vexscan.git
cd vexscan
# 创建并激活 virtual environment
python -m venv venv
# Linux / Parrot OS / Kali
source venv/bin/activate
# Windows
venv\Scripts\activate
# 安装 dependencies
pip install -r requirements.txt
```
## 配置
在项目根目录创建一个 `.env` 文件:
```
VT_API_KEY=your_virustotal_key
SHODAN_API_KEY=your_shodan_key
ABUSEIPDB_API_KEY=your_abuseipdb_key
GROQ_API_KEY=your_groq_key
```
| API | 免费额度 | 获取密钥 |
|-----|-----------|---------|
| VirusTotal | ✅ | [virustotal.com](https://www.virustotal.com/gui/join-us) |
| AbuseIPDB | ✅ | [abuseipdb.com](https://www.abuseipdb.com/register) |
| Shodan | ✅ | [account.shodan.io](https://account.shodan.io) |
| Groq | ✅ | [console.groq.com](https://console.groq.com) |
## 使用方法
```
# 扫描 IP 地址
python main.py 45.33.32.156
# 扫描域名
python main.py malware.wicar.org
# 扫描 file hash (MD5/SHA1/SHA256)
python main.py 44d88612fea8a8f36de82e1278abb02f
# 保存报告为纯文本
python main.py 45.33.32.156 --output txt
```
## 项目结构
```
vexscan/
├── main.py # CLI entry point
├── requirements.txt
├── .env # API keys (not committed)
├── modules/
│ ├── virustotal.py # VirusTotal API integration
│ ├── abuseipdb.py # AbuseIPDB API integration
│ ├── shodan_lookup.py # Shodan API integration
│ └── ai_analyst.py # Groq AI threat analysis
└── reports/ # Saved scan reports (auto-generated)
```
## 情报来源
| 来源 | 提供的数据 | 目标类型 |
|--------|--------------|--------------|
| VirusTotal | 引擎检测结果,信誉评分 | IP,域名,哈希 |
| AbuseIPDB | 滥用置信度,历史报告,ISP | 仅限 IP |
| Shodan | 开放端口,服务,CVE,地理位置 | 仅限 IP |
| Groq AI | 威胁判定,风险评分,MITRE ATT&CK | 所有 |
## AI 分析师输出
每次扫描都会生成一份结构化的 AI 报告,包含:
- **威胁判定** — 恶意 / 可疑 / 干净 / 未知
- **风险评分** — 0 到 100
- **关键发现** — 来自所有来源的关键指标
- **分析建议** — 可采取的后续步骤
- **MITRE ATT&CK 映射** — 相关技术 ID
## 免责声明
VexScan 的构建仅用于教育目的和授权的安全研究。
请勿在未获授权的情况下对目标进行调查。
## 作者
**Mohammed Roshan T**
[LinkedIn](https://linkedin.com/in/mohammed-roshan-t) · [GitHub](https://github.com/MohammedRoshanT) · TryHackMe: r0x404 (全球前 5%)
标签:AbuseIPDB, AI分析, Ask搜索, Cloudflare, DAST, DLL 劫持, ESC4, IP 地址批量处理, IP查询, Llama 3, MITRE ATT&CK, OSINT, Python, VirusTotal, 人工智能, 域名查询, 大语言模型, 威胁情报, 安全报告, 实时处理, 密码管理, 开发者工具, 恶意软件分析, 插件系统, 攻击面分析, 数据统计, 文件哈希, 无后门, 无线安全, 用户模式Hook绕过, 端口扫描, 结构化报告, 网络安全, 逆向工具, 隐私保护