x0xx0x0x/vkscanner

# VK Scanner — Voight-Kampff 钓鱼检测器

🛡️ 自动化钓鱼与取证检测工具
专为 URL、电子邮件和文档的深度取证分析而设计的综合套件。VK Scanner 可帮助安全专业人员检测钓鱼攻击、混淆的 payload 以及社会工程学攻击。

## 🔑 核心支柱 1. **🔒 100% 离线且私密：** VK Scanner 不会将您的文件或 URL 发送到外部云服务（如 VirusTotal 或 urlscan.io）。所有的启发式检查、payload 解析和密码破解均严格在您的本地机器上执行，确保敏感数据绝不泄露。 2. **🐳 Docker 沙箱化：** 整个分析引擎已完全容器化。在 Docker 沙箱中对可疑文件进行引爆或执行潜在恶意 JavaScript 的操作，将与您的主机操作系统安全隔离。 3. **🌐 动态 URL 分析：** VK Scanner 不再单纯依赖静态黑名单，而是动态引爆 URL（使用如 Playwright 等无头浏览器）来绕过逃避技术、捕获动态 DOM 变化，并检测移动端/桌面端伪装（cloaking）。 ## 🚀 快速开始（单条命令） 我们的自动化脚本确保您无需任何手动配置即可获得无缝的“安装并运行”体验。 ``` git clone https://github.com/YOUR_USERNAME/vkscanner.git cd vkscanner chmod +x setup.sh && ./setup.sh ``` **安装脚本的具体操作：** 1. ✅ **安装 Docker**（支持 Debian/Ubuntu/Kali/Fedora/Arch/macOS） 2. ✅ **配置 Docker 权限** 3. ✅ **以分离模式构建并启动所有沙箱服务** 4. ✅ **安装**本地 CLI 执行所需的 **Python 依赖项** 5. ✅ **创建全局系统命令（`vkscanner`）** **安装完成后：** - 💻 **全局 CLI**：可在任意位置运行 `vkscanner`！ - 🌐 **Web 门户**：[http://localhost:3000](http://localhost:3000)（或使用 `vkscanner -w` 启动） - 🔌 **API**：[http://localhost:8000](http://localhost:8000) ### 💻 命令行界面（CLI）示例 直接在终端中执行安全、离线的扫描： ``` # 启动 web suite 并打开你的浏览器： vkscanner -w # 打开交互式分步菜单： vkscanner # 扫描 URL 并显示详细的启发式跟踪： vkscanner url "http://paypal-verification-account-update.ga/login" --trace # 解析并扫描电子邮件文件（.eml 或 .msg）： vkscanner email "/path/to/suspicious.eml" # 扫描 Office 文档以检测恶意宏： vkscanner document "invoice.xlsm" # 使用暴力破解字典攻击扫描加密的 ZIP： vkscanner document "financials.zip" --brute-force # 使用已知密码扫描加密的 PDF： vkscanner document "secret.pdf" --password "infected123" ``` ## 🔍 深度功能 ### 🌐 URL 分析 - **动态引爆：** 渲染页面以击破混淆和伪装（cloaking）。 - **同形异义词与抢注（Typosquatting）：** 莱文斯坦距离（Levenshtein distance）检查以及西里尔字母/拉丁字母形近字检测。 - **结构分析：** 可疑 TLD、基于 IP 的 URL、双重扩展名、非标准端口。 - **混淆检测：** 解码隐藏的 JavaScript payload 和嵌套的 DOM 事件。 ### ✉️ 深度电子邮件取证 - **文件解析：** 原生支持 `.eml` 和 `.msg` 上传格式。 - **标头分析：** SPF、DKIM、DMARC 验证以及邮件跳分析，以检测欺诈。 - **附件提取：** 自动提取内嵌文件并对其进行递归扫描。 ### 📄 文档与 Payload 解剖 - **YARA 签名扫描：** 根据自定义的 YARA 规则评估文件、payload 和提取的工件，以检测已知恶意软件和高级持续性威胁（APT）。 - **PDF 分析：** 通过 PyMuPDF 进行 JavaScript 检测以及 Launch/SubmitForm 动作抓取。 - **Office 文档（DOCX/XLSX）：** VBA 宏检测、OLE 对象以及外部引用追踪。 - **本地密码破解：** 内置针对受保护的 PDF/ZIP/Office 文档的暴力破解引擎，支持使用默认字典或自定义字典。 ### 🧠 高级启发式分析 - **社会工程学检测：** 用于紧急情况/威胁关键词检测的 NLP 情感分析。 - **规则引擎：** 高度优化的启发式加权系统，用于计算最终的 0-100 风险评分。 - **追踪日志：** 提供逐步的调试追踪，准确解释是哪条规则触发了警报及其原因。 ## 🏗️ 项目结构 ``` vkscanner/ ├── setup.sh # One-command installer & run script ├── docker-compose.yml # Sandbox container orchestration ├── backend/ # FastAPI, SQLite, and Heuristic Engines │ ├── app/ │ │ ├── analyzers/ # URL, Email, and Document analysis logic │ │ └── utils/ # Offline bruteforce and scoring algorithms ├── frontend/ # React application source └── README.md ``` ## 📄 许可证 GNU AGPLv3

标签：DAST, Docker, DOS头擦除, YARA, 云资产可视化, 动态沙箱, 安全防御评估, 密码破解, 恶意软件分析, 搜索语句（dork）, 特征检测, 请求拦截, 钓鱼检测