Barath711/MultiOSINT

GitHub: Barath711/MultiOSINT

面向 SOC 分析师的桌面端威胁情报平台,将 18+ OSINT 来源整合到单一界面,支持 IOC 查询、钓鱼邮件分析和浏览器历史取证。

Stars: 0 | Forks: 0

# 🔎 MultiOSINT v12 **一款专为 SOC 分析师设计的桌面威胁情报平台。** 通过单一界面同时查询 **18+ OSINT 来源** —— 包括 IP、域名、URL、哈希和电子邮件。无需切换标签页,即可分类处理钓鱼邮件、分析浏览器历史记录、调查 IOC,并生成 AI 驱动的摘要报告。 ![Python](https://img.shields.io/badge/Python-3.10+-3776AB?style=flat&logo=python&logoColor=white) ![PyQt6](https://img.shields.io/badge/UI-PyQt6-41CD52?style=flat&logo=qt&logoColor=white) ![License](https://img.shields.io/badge/License-MIT-green.svg) ![Platform](https://img.shields.io/badge/Platform-Windows-blue) ## ⚡ 开发动机 在事件响应过程中,分析师经常需要在各个浏览器标签页之间复制粘贴 IOC。这种操作不仅速度慢、容易出错,还会打断工作专注度。 **MultiOSINT** 彻底消除了这种摩擦: - 只需输入**一次** IP、域名、URL、哈希或电子邮件 - 并行获取 **18+ 来源** 的查询结果 - 通过简单的拖拽操作,即可完成 `.eml`/`.msg` 钓鱼文件的分类排查 - 将 Edge/Chrome 的**浏览器历史记录和下载记录**解析为取证时间线 - 从内置导航器中浏览 **160+ OSINT 工具** - 只需点击一次 Gemini AI,即可生成完整的分析师报告 ## 🖥️ 功能概览 ### 🔍 OSINT 查询 | Source | IP | Domain | URL | Hash | Email | Free | |--------|:--:|:------:|:---:|:----:|:-----:|:----:| | VirusTotal | ✅ | ✅ | ✅ | ✅ | ✅ | Free tier | | AbuseIPDB | ✅ | — | — | — | — | Free tier | | GreyNoise | ✅ | — | — | — | — | Free tier | | Shodan | ✅ | — | — | — | — | API key | | CriminalIP | ✅ | — | — | — | — | API key | | IPQualityScore | ✅ | ✅ | ✅ | — | ✅ | API key | | OTX AlienVault | ✅ | ✅ | — | ✅ | — | Free | | Pulsedive | ✅ | ✅ | — | — | — | API key | | URLScan.io | ✅ | ✅ | ✅ | — | — | Free (key optional) | | PhishTank | — | ✅ | ✅ | — | — | Free | | URLhaus | ✅ | ✅ | — | — | — | Free | | ThreatFox | ✅ | ✅ | ✅ | ✅ | — | Free | | MalwareBazaar | — | — | — | ✅ | — | Free | | CIRCL HashLookup | — | — | — | ✅ | — | Free | | XposedOrNot | — | — | — | — | ✅ | Free | | Breach.VIP | — | — | — | — | ✅ | Free | | EmailRep.io | — | — | — | — | ✅ | Free | | LeakCheck.io | — | — | — | — | ✅ | Free | | Geolocation / rDNS / WHOIS / DNS | ✅ | ✅ | — | — | — | Free | ### 📧 钓鱼邮件分析器 - 拖拽 `.eml` / `.msg` 文件进行分类排查 - 自动提取发件人、回复地址、IP、域名、URL 和附件 - 通过相同的 API 堆栈,自动丰富所有提取出的 IOC 信息 - 对邮件头进行分析,并提供逐跳的 SPF/DKIM/DMARC 可视化展示 - 针对附件调用 Joe Sandbox 进行引爆,并提供截图预览 - 对可疑链接进行 URLScan.io 截图捕获 - 将完整报告导出为 HTML ### 🌐 浏览器历史分析器 *(v12 新增)* - 加载一个或多个 **Edge / Chrome `History`** SQLite 数据库 - **预览浏览历史** —— 包括 URL、标题、访问时间 (UTC) 以及相关联的下载记录 - **下载标签页** —— 显示文件名、开始/结束时间、状态、大小、来源及最终 URL - **仅下载过滤器** —— 仅筛选出产生下载记录的历史条目 - 根据精确的 URL **及 hostname**,将下载记录与历史条目进行关联 - 跨 URL、标题和文件名进行实时搜索过滤 - **导出为 XLSX** —— 包含独立的历史和下载工作表,可选择性添加案件/主题标签前缀 - 支持在单次运行中批量导出多个历史文件 - 所有时间戳均统一为 **UTC**(自动进行 WebKit epoch 转换) ### 🧭 OSINT 导航器 - 涵盖 14 个类别的 160+ 精选 OSINT 工具: Search, IP Info, Threat Intel, Hash Lookup, Email & Breach, Email Headers, Attack Surface, Vulnerabilities, Malware Analysis, Malware Feeds, Phishing, Social Media & People, Utilities, AI Tools - 跨所有工具的实时搜索过滤 - **▲ ▼ IOC 导航** —— 逐一循环遍历所有已输入的 IOC,无需重新输入 - 支持折叠分类,可一键展开/全部折叠 - 采用颜色编码的章节标题,方便快速视觉扫视 ### 🤖 AI 摘要 (Gemini) - 一键生成涵盖所有 IOC 的结构化 SOC 分析师报告 - 通过 REST API 使用 `gemini-flash-latest` - 非阻塞式 —— 在后台线程运行,保持 UI 流畅响应 - 生成期间禁用按钮,以防止重复请求 ### 🔐 设置与 API Keys - 所有 API keys 默认隐藏(密码掩码处理) - **👁 Show Keys / 🔒 Hide Keys** 切换开关,可一次性显示/隐藏所有密钥 - 密钥本地保存在 `config.json` 中 —— 除了发送至各自对应的 API 外,绝不会发送至任何其他地方 ### 📊 报告 - 将 OSINT 结果导出为 **TXT** 或 **CSV** - 将浏览器历史记录和下载记录导出为 **XLSX** - 将钓鱼邮件报告导出为 **HTML** - 简洁的结果视图 —— 自动屏蔽错误和“未找到”的响应 ## 🎨 UI 亮点 - **三大顶级模式** —— 🔍 OSINT Lookup · 🎣 Phishing Analyzer · 🌐 Browser History —— 通过顶部的胶囊按钮进行切换 - **PyQt6** —— 采用 iOS 风格设计,具备流畅的标签页切换动画、胶囊按钮和毛玻璃效果卡片 - **Light / Dark 模式切换** —— 平滑过渡色彩,默认为 Light(浅色)模式;主题会自动应用到 Browser History 面板 - 启动时显示**带圆弧旋转动画的启动屏** —— 旋转弧线进度指示器 - **默认全屏** —— 启动时自动最大化窗口 - 支持自定义 `.ico` 图标 —— 只需将 `myicon.ico` 放在 `.pyw` 同级目录下即可 ## 🚀 快速开始 ### 1. 安装依赖 ``` pip install PyQt6 pillow requests urllib3 python-whois dnspython extract-msg openpyxl ``` ### 2. 运行 ``` pythonw MultiOSINT.pyw ``` ### 3. 配置 API keys 在应用程序内打开 **⚙️ Settings** 标签页。密钥将保存到同目录下的 `config.json` 文件中。点击 **👁 Show Keys** 即可显示输入的内容。 **建议获取的免费层 (Free-tier) 密钥:** | Service | Link | |---------|------| | VirusTotal | https://www.virustotal.com/gui/my-apikey | | AbuseIPDB | https://www.abuseipdb.com/account/api | | OTX AlienVault | https://otx.alienvault.com/api | | IPQualityScore | https://www.ipqualityscore.com/user/api-keys | | Pulsedive | https://pulsedive.com/account/ | | URLScan.io | https://urlscan.io/user/profile/ | | Google Gemini | https://aistudio.google.com/app/apikey | ## 🗂️ 文件结构 ``` MultiOSINT/ ├── MultiOSINT.pyw # Main application (single file) ├── config.json # API keys (edit per user, never commit) └── myicon.ico # App icon (optional, external) ``` ## ✅ v12 新特性 - **🌐 Browser History Analyzer** —— 全新模式:将 Edge/Chrome 的历史数据库 (History DB) 解析为浏览 + 下载时间线,根据 URL 和 hostname 关联下载记录,支持过滤并导出为 XLSX(采用 UTC 时间戳) - **4 个全新 OSINT 来源** —— 在查询引擎中新增了 URLScan.io、PhishTank、EmailRep.io 和 LeakCheck.io - **扩展的电子邮件信息丰富度** —— 在 XposedOrNot 和 Breach.VIP 的基础上,新增了 EmailRep.io 信誉查询 + LeakCheck.io 泄露查询 - **URL 覆盖范围** —— 针对针对 URL/domain 类型的 IOC,提供 URLScan.io 和 PhishTank 的判定结果 - **URLScan 截图** —— 在沙箱/钓鱼分析流程中,支持实时扫描 + 截图预览 - **重构的顶部栏** —— 三大顶级模式胶囊按钮 (OSINT Lookup · Phishing Analyzer · Browser History) - **批量 XLSX 导出** —— 可在单次运行中处理多个 History 文件,并支持添加案件/主题标签 ## 📦 关于 v11 v11 版本 PyQt6 重构的所有功能均予以保留:iOS 风格 UI、Light/Dark 切换、动画启动屏、IOC 导航 (▲ ▼)、API key 掩码、非阻塞式 Gemini 线程、动画标签切换、默认全屏以及自定义图标支持。 ## 📜 许可协议 MIT —— 尽情使用、修改,让你的 SOC 运转得更快。 ## 👤 作者 **Barath A C** SOC Analyst II [LinkedIn](https://linkedin.com/in/barath07) · [GitHub](https://github.com/Barath711)
标签:ESC4, OSINT, PyQt6, Python, SOC分析, 威胁情报, 库, 应急响应, 开发者工具, 无后门, 桌面应用, 网络信息收集, 逆向工具