IV-JHIN/takedown-evidence-kit

# 侵权证据工具包 侵权证据工具包是一款本地安全工具，用于从可疑URL和域名收集侵权证据。 该工具专为钓鱼攻击、欺诈域名、品牌仿冒、虚假网站、拼写错误域名（typosquatting）及可疑重定向调查工作流程设计。 工具会收集技术证据、创建案例文件夹、生成分析师可读的报告，并为侵权下架或滥用投诉准备草稿信息。 ## 功能特性 - URL规范化与注册域名提取 - HTTP响应收集 - 初始与最终HTTP状态追踪 - 重定向链收集 - Cloudflare人机验证检测 - HTTP头部与HTML内容捕获 - 页面标题提取 - 登录表单、密码字段与表单检测 - 品牌关键词与可疑关键词检查 - DNS记录收集 - WHOIS查询与域名年龄分析 - SSL证书检查 - 基于Playwright的浏览器截图捕获 - 浏览器最终URL与页面标题捕获 - 网站图标（Favicon）哈希收集与合法图标对比 - 分诊评分以供分析师优先级排序 - Markdown与JSON格式证据导出 - 通用侵权下架/CERT报告草稿 - 注册商滥用邮箱草稿 - 托管服务商滥用邮箱草稿 - 可选的土耳其/USOM报告草稿 ## 输出文件 每次调查会在 `cases/` 目录下创建案例文件夹。 | 文件 | 说明 | |---|---| | `technical_evidence.json` | 完整的机器可读证据包 | | `evidence_report.md` | 人类可读的技术证据报告 | | `generic_takedown_report.md` | 英文通用侵权下架/CERT/CSIRT报告草稿 | | `cert_report_usom_tr.md` | 可选的土耳其USOM报告草稿 | | `registrar_abuse_email.md` | 注册商滥用投诉邮箱草稿 | | `hosting_abuse_email.md` | 托管服务商滥用投诉邮箱草稿 | | `headers.txt` | 捕获的HTTP头部信息 | | `page.html` | 捕获的HTML页面 | | `screenshot.png` | 浏览器截图 | | `favicon.ico` | 捕获的网站图标（如有） | ## 安装说明 该工具主要在Ubuntu Linux上开发和测试。 推荐WSL发行版：Ubuntu 24.04 LTS。 它在macOS和Windows WSL上也应能运行。原生Windows PowerShell环境可能兼容，但非主要测试环境。 目前不建议在此项目中使用Ubuntu 26.04，因为在上游支持可用前，Playwright Chromium可能在 `ubuntu26.04-x64` 上运行失败。 ### Linux / macOS / WSL ``` git clone https://github.com/IV-JHIN/takedown-evidence-kit.git cd takedown-evidence-kit sudo apt update sudo apt install -y python3 python3-venv python3-pip git python3 -m venv venv source venv/bin/activate pip install -r requirements.txt playwright install chromium # 如果 Playwright 报告缺少浏览器依赖项： sudo playwright install-deps ``` ### Windows PowerShell（实验性） ``` git clone https://github.com/IV-JHIN/takedown-evidence-kit.git cd takedown-evidence-kit py -m venv venv .\venv\Scripts\Activate.ps1 pip install -r requirements.txt playwright install chromium ``` ## 使用方法 启动Streamlit应用： ``` streamlit run app.py ``` 然后打开终端显示的本地URL。 填写以下信息： - 可疑URL - 品牌名称 - 合法域名 - 客户/组织名称 - 案例ID - 分析师备注 点击 **开始收集证据**。 ## 工作流程示例 1. 客户报告一个可疑URL。 2. 分析师输入可疑URL及合法品牌/域名。 3. 工具收集HTTP、DNS、WHOIS、SSL、截图、网站图标及页面分析证据。 4. 分析师审查生成的报告。 5. 分析师手动将相关报告提交给CERT/CSIRT、注册商、托管服务商或内部滥用处理流程。 ## 分诊评分 分诊评分仅为分析师优先级排序的辅助工具，并非最终的滥用判定。 示例标签： - `低信号` - `建议审查` - `无活跃网页证据` 该工具尝试减少以下情况下的误报：合法的同域名登录页面、合法的子域名、不活跃的域名、无活跃证据案例，以及无凭据收集证据的纯重定向案例。 ## 示例输出 经过脱敏的模拟输出位于 `sample_outputs/` 目录下。 这些文件是安全的示例，不代表真实的客户、真实的钓鱼页面或真实的侵权案例。 ## 安全须知 仅将此工具用于授权的安全工作。 请勿用于攻击系统、暴力破解、利用漏洞、绕过身份验证、向可疑页面提交凭据、发送自动滥用报告或发布真实客户证据。 生成的草稿在提交前必须经过人工审核。 ## GitHub安全配置 该仓库已配置为忽略运行时生成的证据输出： ``` cases/* screenshots/* ``` 仅应提交 `.gitkeep` 文件和经过脱敏的模拟样本。 请勿提交真实客户案例、钓鱼截图、API密钥、令牌、私密证据或内部客户数据。 ## 发展路线图 - 集成Urlscan.io - 集成VirusTotal URL扫描 - 托管服务商/ASN检测 - 滥用联系人信息发现 - PDF导出 - Docker支持 - 更多CERT/CSIRT模板 - 更好的停放域名检测 - 案例时间线支持 ## 免责声明 本项目用于防御性安全、欺诈调查和侵权证据准备。 它不判定域名是否在法律上构成滥用、恶意或侵权。最终决定必须由合格的分析师、受影响的组织、服务提供商、CERT/CSIRT团队、注册商、托管服务商或相关权威机构作出。

标签：CDN识别, CERT报告, Cloudflare检测, DNS查询, ESC漏洞, Homebrew安装, HTTP监控, Kubernetes, Playwright, SSL证书检查, takedown工作流, typosquatting检测, URL分析, USOM报告, WHOIS查询, 关键词检查, 协议探测, 品牌冒充, 域名滥用, 多模态安全, 恶意网站分析, 本地工具, 欺诈域名, 法证分析, 浏览器自动化, 滥用报告, 特征检测, 登录表单检测, 网络安全, 网络犯罪调查, 证据收集, 逆向工具, 重定向跟踪, 钓鱼检测, 防御加固, 隐私保护