arghyadipadhikary/Email-Head-Scanner

# 邮件威胁扫描器 ## 核心功能 ### 深度 MIME 解析 递归解包多部分电子邮件结构，以隔离并单独分析每个 MIME 层的标题、纯文本正文和嵌入的 HTML 脚本 — 无论负载嵌套有多深。 ### 抗崩溃解析 采用强化解码周期，错误映射设置为 `replace`，确保引擎在处理格式错误或恶意构造的字符编码时保持稳定 — 这是攻击者常用的规避技术，用于破坏简单的解析器。 ### 多阶段启发式遥测 风险评估跨越四个独立的战术向量，每个向量针对一类不同的威胁行为。结果汇总为跨越分析四个阶段的综合风险评分。 ### 零外部依赖 无 API 密钥。无云查找。无数据离开主机。适用于部署在断网网络、机密环境和对数据居住地有严格要求的监管行业。 ## 威胁检测管道 ### 第一阶段 — 封装诊断 针对邮件封装级别的身份层欺骗。 - `From` 与 `Reply-To` 不匹配检测 - SPF 认证失败或不存在 - DKIM 签名失败或不存在 - DMARC 政策失败或不存在 ### 第二阶段 — 词汇威胁矩阵 扫描正文内容，寻找与社交工程攻击相关的语言模式。 - 凭据收集触发短语（例如：“验证您的账户”，“确认您的密码”） - 人工紧急标记（例如：“立即采取行动”，“您的账户将被暂停”） - 在勒索活动中使用的加密货币钱包地址模式 ### 第三阶段 — 数学熵分析 计算解码正文内容的基-2 Shannon 熵。 - 熵分数高于 **5.5 比特**的标记潜在的 base64 编码负载、混淆脚本或隐藏数据泄露字符串 - 提供一个与关键词匹配无关的定量信号，捕捉完全规避词汇检测的威胁 ### 第四阶段 — 结构规避检测 检查 HTML 结构以检测渲染操纵和链接遮蔽技术。 - 不可见文本注入（零宽度字符、`display:none`、`font-size:0`） - 超链接域名遮蔽 — 检测可见锚文本域名与实际 `href` 目标之间的不匹配 - 捕捉旨在欺骗人类读者同时绕过简单 URL 扫描器的规避策略 ## 技术实现 该项目采用解耦架构，跨越三个文件，将路由、分析逻辑和展示分离成独立的层。 **`app.py`** — 中央 Web 路由协调器和基于策略的 MIME 解析器。处理请求验证、递归 MIME 解包和响应组装。 **`analyzer.py`** — 核心数学和启发式引擎。包含 Shannon 熵计算和基于预编译正则表达式的完整四阶段规则集，以实现确定性和低延迟执行。 **`index.html`** — 深色主题的取证仪表板。将分析输出映射到交互式雷达图和标签式分类工作区，用于结构化事件审查。 ## 主要用例 **断网 SOC 环境** 在隔离网络中部署，以执行立即离线取证分类，无需任何数据离开边界。无需轮换 API 密钥，无速率限制，无云供应商风险表面。 **事件响应管道** 作为 IR 工作流程中的第一级自动化阶段进行集成。分析师将可疑的 `.eml` 文件直接放入扫描器，以进行快速初始分类，然后再升级到更深入的取证审查。 **威胁向量研究** 用作沙盒实验室环境，以研究对抗性技术 — HTML 布局规避、结构熵操纵和精心编码攻击 — 在受控、可观察的环境中。 ## 安全与隐私 - 无遥测。不收集或传输使用数据。 - 无外部查找。发送者 IP、域名和消息内容从未离开主机。 - 仅本地处理。引擎完全在内存中操作原始 MIME 负载。 - 强化解析。格式错误输入被优雅地处理，不会在对抗性负载上崩溃。 此工具旨在供授权分析系统和电子邮件样本的安全专业人员使用。 ## 许可证 MIT 许可证 — 有关详细信息，请参阅 [LICENSE](LICENSE)。

标签：AMSI绕过, ESC8, Flask, MIME解析, Python, 加密货币, 后端开发, 威胁情报, 威胁检测, 字符编码处理, 安全分析工具, 安全合规, 开发者工具, 数据隔离, 无后门, 本地化安全, 熵分析, 社会工程学, 离线分析, 秘密管理, 网络代理, 逆向工具, 邮件头分析, 邮件安全, 风险评分