AlDawli/ThreatHunting-Toolkit

# ThreatHunting-Toolkit 设置（3 个步骤） 1 — 安装依赖 bashcd threat_hunting_toolkit pip install -r requirements.txt 2 — 获取你的 VirusTotal API key 在 virustotal.com/gui/join-us 免费注册 免费层级每天提供 500 次查询，每分钟 4 次——代码会自动处理速率限制 bashcp .env.example .env # 打开 .env 并粘贴你的 key：VT_API_KEY=your_key_here 3 — 运行 bashpython main.py # 交互式提示符 python main.py --web # → http://localhost:5000 python main.py --desktop # Tkinter GUI 各模块内部说明 文件作用core/ioc_detector.py基于正则表达式的自动检测——IP、MD5/SHA1/SHA256、domain、URL、emailcore/virustotal.pyVT API v3 包装器——hash、domain、IP、URL（轮询新的 URL 扫描）core/database.pySQLite——searches 表（完整历史记录）+ iocs 表（watchlist）core/report_generator.py基于 fpdf2 的 PDF，包含摘要、watchlist 表、检测详情卡片interfaces/web/app.pyFlask REST API——被 dashboard 使用的 8 个 endpointinterfaces/web/templates/index.html暗色 SOC dashboard——选项卡、判定横幅、检测表、导出按钮interfaces/desktop/app.pyTkinter ttk.Notebook——同样的 7 个选项卡，多线程 VT 调用确保 UI 永不冻结 推荐尝试的自然扩展 批量 IOC 上传——解析 .txt 或 .csv 并循环调用 check_*，带有进度条 AbuseIPDB 集成——针对 IP 信誉的第二意见（免费 API，模式与 VT 类似） 定时重新扫描——使用 schedule 或 APScheduler 每日重新检查 watchlist IOC MISP 导出——将 IOC watchlist 序列化为 MISP 兼容的 JSON，用于威胁共享

标签：Flask, IOC检测, Python, SQLite, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 逆向工具