AlessioSavelli/ToolSicurezza

# ToolSicurezza [](LICENSE) [](https://www.python.org/) [](https://www.microsoft.com/windows) [](DISCLAIMER.md)  ## ⚠️ 请先阅读 此工具在本地模拟信息窃取恶意软件（RedLine、Lumma、Vidar、Kepavll 等）可能对您计算机发起的攻击。其设计**完全用于在您个人拥有的系统上进行防御性自我审计**。 在执行任何操作之前，请阅读 [`DISCLAIMER.md`](DISCLAIMER.md)——运行此工具即表示您接受其条款。 ## 项目介绍 `ToolSicurezza` 是一个 Python 套件，可在 Windows 机器上执行九类只读检查，全部在用户模式下进行（无内核驱动、无恶意软件、无远程外泄）： 1. **浏览器凭据解密** — Chrome / Edge / Brave / Vivaldi / Opera / Chromium（DPAPI + AES-GCM v10）、Chrome v20 应用绑定加密检测、Firefox NSS（key4.db + logins.json，PBKDF2 + AES-256-CBC）。 2. **浏览器版本与 CVE 对比** — 将本地安装版本与从 Google Chromium-Dash、Mozilla product-details、Microsoft EdgeUpdates 和 Brave GitHub releases API 实时获取的当前稳定版本进行比较。标记过时的浏览器并与精心整理的漏洞知识库进行匹配。 3. **应用绑定加密时间线** — 20 种已记录的信息窃取恶意软件家族被映射到它们针对的 Chrome 版本、使用的绕过技术（COM IElevator、DLL 注入、反射进程挖空、调试器附加、chrome.dll 签名扫描、服务器端外泄）以及缓解每种技术的 Chrome 里程碑版本。 4. **激进模式** — 可选地通过临时计划任务提升至 NT AUTHORITY\SYSTEM 权限，尝试 v20 ABE 解密（在现代 Chrome 上将按设计失败——这 *就是* 结果）。 5. **信息窃取目标检测** — Discord 令牌存储、Steam `loginusers.vdf`、25+ 种加密货币钱包浏览器扩展、Telegram Desktop `tdata`、SSH/GPG 密钥、FileZilla、VPN 配置、Windows 凭据管理器。 6. **内置 LaZagne-light 模块** — 纯 Python 复刻了最有用的 LaZagne 类别（Wi-Fi、PuTTY、WinSCP 解密、Git 凭据、OpenVPN、FileZilla、Thunderbird、Pidgin、DBVisualizer、RDP、Cisco AnyConnect），无需依赖被 Windows Defender 标记的二进制文件。 7. **外部工具集成（可选）** — `pypykatz`、`browser_cookie3` 在首次运行时通过 pip 自动安装并保持更新。被标记为潜在不受欢迎应用 (PUA) 的工具（如 LaZagne）需要显式启用。 8. **带标签页的 HTML 报告**，包含风险评分、按浏览器列出的凭据、每个凭据的密码格式与强度、可排序表格、深色背景下带颜色编码的严重等级，以及可导出的 JSON。**完全本地化** 支持意大利语、英语、法语、德语和西班牙语——根据 Windows 区域设置自动检测，或使用 `--lang it/en/fr/de/es` 强制指定。 9. **按优先级排序的修复建议**，每条建议都包含理由和具体的修复步骤。 ## 快速开始 ### 系统要求 - Windows 10 / 11（该工具通过 `crypt32.dll` 使用 DPAPI，因此在 Linux/macOS 上无法工作） - Python 3.10 或更高版本 - 网络访问（可选，仅用于实时版本检查；离线模式可用 `--no-online`） - 管理员权限（可选，仅激进的 v20 绕过尝试需要） ### 安装 ``` git clone https://github.com/AlessioSavelli/ToolSicurezza.git cd ToolSicurezza py -m pip install -r requirements.txt ``` 完成。其余的 Python 辅助程序（`pypykatz`、`browser_cookie3`）将在工具首次运行时自动安装。 ### 运行 ``` # 全面审计（默认 — 密码已遮蔽） py infostealer_audit.py # 相同审计但在HTML报告中显示解密后的密码 py infostealer_audit.py --showpassword # 离线、快速、无需安装第三方工具 py infostealer_audit.py --no-online --no-tools # 强制报告语言（默认从Windows区域设置自动检测） py infostealer_audit.py --lang en # English py infostealer_audit.py --lang fr # Français py infostealer_audit.py --lang de # Deutsch (alias: --lang du) py infostealer_audit.py --lang es # Español # 仅深度密码审计（旧版配套脚本） py pwd_audit.py py pwd_audit.py --aggressive # UAC prompt → SYSTEM elevation py pwd_audit.py --lang it # force Italian report ``` 报告将写入 `./reports/infostealer_.html`。可在任何浏览器中打开。 ## 输出示例 ### 控制台（节选） ``` ======================================================================== infostealer_audit.py v2 - audit superficie + accounts + tools ======================================================================== Lingua report: it (auto-detect) [1/9] KB loaded (Chrome stable reference: 148) [2/9] Detecting installed browsers... Chrome 148.0.7778.168 Edge 148.0.3967.70 Firefox NOT INSTALLED [3/9] Live check for current stable versions... Chrome latest: 148.0.7778.98 (2026-05-12) [chromiumdash.appspot.com] Firefox latest: 150.0.3 (2026-05-12) [product-details.mozilla.org] Edge latest: 148.0.3967.70 (2026-05-15) [edgeupdates.microsoft.com] Brave latest: 1.90.122 (2026-05-13) [github.com/brave/brave-browser] [4/9] External tool auto-install / update... [tool] pypykatz - mimikatz pure-Python [ok] Already installed [tool] browser_cookie3 [ok] Already installed [tool] lazagne - LaZagne [skip] PUA-flagged [5/9] Matching versions against KB... Chrome v148: score 1/10, decrypt difficulty VERY_HARD Edge v148: score 1/10, decrypt difficulty VERY_HARD [6/9] Decrypting Chromium credentials... Chrome/Default: 0 v10 decrypted, 57 v20-protected Edge/Default: 2 v10 decrypted, 0 v20-protected [7/9] Infostealer target detection + legacy creds... [!] Discord Token: PRESENT [HIGH] Credential Manager entries: 8 [8/9] LaZagne Light: Wi-Fi/PuTTY/WinSCP/Git/OpenVPN/... Wi-Fi: n/a (wireless service not running) PuTTY: 0 sessions WinSCP: 0 sessions Git creds: 0 [...] [9/9] 2 fix recommendations generated [OK] HTML report: D:\Desktop\ToolSicurezza\reports\infostealer_20260518_224717.html ``` ### HTML 报告 — 标签页布局 ``` ┌───────────────────────────────────────────────────────────────────────┐ │ Infostealer Audit Report │ │ Overall risk: LOW (banner colour-coded) │ ├───────────────────────────────────────────────────────────────────────┤ │ [Overview] [Accounts] [Versions&CVE] [Targets] [LaZagne Light] │ │ [Legacy] [Tools] [Fixes] [ABE Timeline] │ ├───────────────────────────────────────────────────────────────────────┤ │ │ │ Browser Installed Current stable Δ Risk │ │ Chrome 148.0.7778.168 148.0.7778.98 — OK │ │ Edge 148.0.3967.70 148.0.3967.70 — OK │ │ │ │ Stats: 2 browsers · 0 v10 decrypted · 57 v20-protected · 0 outdated │ │ │ └───────────────────────────────────────────────────────────────────────┘ ``` ## 架构 ``` ToolSicurezza/ ├── infostealer_audit.py # Main orchestrator (9 tabs) ├── pwd_audit.py # Legacy deep-password companion ├── sanitize_demo_reports.py # Strips personal data from reports for demo ├── kb/ │ └── vulnerabilities.json # ABE timeline + 20 infostealer families (v1.1) ├── modules/ │ ├── browser_versions.py # Version detection + KB matching │ ├── chromium_decrypt.py # DPAPI + AES-GCM (v10/v20) │ ├── external_tools.py # pip auto-install: pypykatz, etc. │ ├── firefox_nss.py # NSS PBKDF2 + AES-256-CBC, no NSS lib │ ├── i18n.py # Multilanguage strings (IT/EN/FR/DE/ES) │ ├── infostealer_targets.py # Discord/Steam/Wallets/SSH/etc. │ ├── lazagne_light.py # Built-in WiFi/PuTTY/WinSCP/Git/... │ ├── legacy_decrypt.py # CredMan, IE Vault, Outlook │ └── online_versions.py # Live version check └── wiki/ ├── *.md # Documentation pages └── demo-reports/ # Sanitized HTML demo reports (5 languages) ``` 详细的架构图、每个解密路径的序列流以及扩展指南可在[项目维基](wiki/Architecture.md)中找到。 ## 文档 项目维基（位于 `wiki/` 目录）包含： | 页面 | 内容 | |---|---| | [首页](wiki/Home.md) | 入口、理念、范围 | | [安装](wiki/Installation.md) | 前置条件、安装路径 | | [快速开始](wiki/Quick-Start.md) | 首次运行指南 | | [CLI 参考](wiki/CLI-Reference.md) | 每个标志及其作用 | | [HTML 报告](wiki/HTML-Report.md) | 各标签页含义 + 多语言支持 | | [示例报告](wiki/Demo-Reports.md) | 5 种语言的脱敏样本报告 | | [架构](wiki/Architecture.md) | 模块图、数据流 | | [知识库](wiki/Knowledge-Base.md) | `vulnerabilities.json` 的架构 | | [添加浏览器](wiki/Adding-a-Browser.md) | 扩展指南 | | [常见问题](wiki/FAQ.md) | 常见问题解答 | | [故障排除](wiki/Troubleshooting.md) | 当出现问题时 | | [威胁模型](wiki/Threat-Model.md) | 我们防御什么，不防御什么 | | [法律与道德](wiki/Legal-and-Ethics.md) | [DISCLAIMER.md](DISCLAIMER.md) 的扩展讨论 | ## 安全 ## 许可证 本项目在 [MIT 许可证](LICENSE) 下发布，许可文件底部附有可接受使用声明。通过使用、构建或为本软件贡献代码，您也同意 [DISCLAIMER.md](DISCLAIMER.md) 中规定的条款。 ## 致谢 使本项目成为可能的公开研究： - [`xaitax/Chrome-App-Bound-Encryption-Decryption`](https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption) — 首个公开的 v20 ABE 绕过概念验证 - [`lclevy/firepwd`](https://github.com/lclevy/firepwd) — Firefox NSS 算法参考 - [`AlessandroZ/LaZagne`](https://github.com/AlessandroZ/LaZagne) — 多种恢复技术的参考 - [`skelsec/pypykatz`](https://github.com/skelsec/pypykatz) — Python 版的 mimikatz - [`runassu/chrome_v20_decryption`](https://github.com/runassu/chrome_v20_decryption) — v20 SYSTEM-DPAPI 双重解包研究 - Cybereason, BleepingComputer, SpyCloud, DarkReading, Check Point Research, Cyble — 发布的信息窃取恶意软件威胁情报报告 本项目中使用的 Chrome 发布计划和里程碑信息来源于公开的 [Chrome Releases 博客](https://chromereleases.googleblog.com/) 和 [Chromium Dash](https://chromiumdash.appspot.com/)。 ## 免责声明（摘要） 本工具是**防御性**的。它在**您的**计算机上运行。它分析**您的**凭据。它**不会**通过网络传输任何内容。完整的法律/道德声明在 [DISCLAIMER.md](DISCLAIMER.md) 中。运行此工具即表示您接受该声明。

标签：AES-256, AES-GCM解密, App-Bound加密检查, Brave安全, Chrome安全, Conpot, Cookie安全, CVE漏洞扫描, DPAPI解密, Edge安全, Firefox NSS支持, IPv6支持, Python安全工具, SQL, Windows安全, 代码分析, 会话安全, 信息安全工具, 信息窃取检测, 信息窃取防御, 凭证暴露分析, 凭证管理, 只读审计, 多模态安全, 密码安全, 密码解密, 恶意软件模拟, 数据泄露预防, 浏览器版本对比, 浏览器版本检查, 漏洞评估, 用户模式检查, 系统审计, 逆向工具, 防御性安全