Afzal2301/PhishSniffer

# PhishSniffer PhishSniffer 是一款开源的网络钓鱼分析工具，旨在自动化一级（Tier-1）电子邮件分类和 URL 调查。该工具解析原始的 .eml 文件，提取入侵指标（IoC），查询威胁情报源以计算集中的风险评分，并导出结构化的分析报告。 ## 功能 ### 电子邮件分析 (.eml) * 标头解析：提取并显示路由历史记录，评估 SPF、DKIM 和 DMARC 对齐情况。 * IoC 提取：使用正则表达式从邮件正文中提取文件哈希、IPv4 地址和域名。 * 多 API 富化：将提取的数据与 VirusTotal、AbuseIPDB、Google Safe Browsing 和 URLscan.io 进行关联比对。 * 自动化摘要：集成 LLM，将原始 API 返回结果解析为纯文本的威胁时间线叙述。 ### URL 扫描器与域名抢注检测 * 独立的 URL 验证模块。 * 将输入域名与包含 400 多个已知品牌的数据库进行交叉比对，以标记相似/域名抢注的域名。 * 基于汇总的威胁情报生成标准化的 0-100 风险评分。 ### 报告与导出引擎 * 按需生成工件报告，用于事件记录和外部共享。 * 支持三种导出格式： * PDF：经过润色的执行摘要和分析师分析结果，适用于正式的工单附件。 * HTML：具有完整数据可视化的交互式独立报告网页。 * JSON：优化后的原始结构化数据 payload，适用于 SIEM 摄取或上游 SOAR 编排。 ### 分析师仪表板与会话管理 * 安全的用户身份验证与本地数据库记录。 * 指标跟踪：调查总数、历史平均风险评分和数量趋势。 * 带有时间戳日志的历史存档，允许按判定结果（Clear、Suspicious、Malicious、Unknown）和调查类型（Email、URL、Unified）进行直接筛选。 ## 架构与数据流 1. 输入：用户在 Web 应用程序中上传 .eml 文件或输入原始 URL。 2. 提取核心：后端提取原始文本指标，并将域名与域名抢注特征进行匹配。 3. 编排层：脚本对外部威胁情报端点执行并行的异步 GET 请求。 4. 报告层：标准化数据池，并根据分析师的选择将指标编译成 PDF、HTML 或 JSON 模板。 5. 标准化：汇总安全评分，通过本地 AI 摘要模块运行 payload 文本，并将数据输出到前端模板。 ## 技术细节 * 后端：围绕请求处理、API 集成和安全的数据库交互构建。 * 安全控制：实施参数化 SQL 查询，以维护跨用户的数据隔离和数据边界。 * 核心库：使用 `requests` 进行数据编排，`re` 进行 token 隔离，`json` 进行多源 payload 解析。 ## 许可证 MIT

标签：URL检测, 多线程, 威胁情报, 开发者工具, 自动化分类, 逆向工具, 钓鱼分析