terraicy/ThreatVault

# ThreatVault V1.0 用于静态指标、模拟沙箱行为、YARA 匹配和 IOC 审查的防御性文件分析仪表板。 ## 产品概述 ThreatVault 是 KRYNEX Labs 公开的 MVP，旨在在安全的演示环境中提供恶意软件分析式的报告。它接受样本，生成静态和模拟行为报告，并在 SOC 仪表板中展示风险、YARA 和 IOC 信息。公开版本并不承诺真正的生产级沙箱隔离。 ## 核心功能 - 样本提交和报告查询。 - 静态元数据和可疑指标报告。 - 模拟沙箱行为时间线。 - YARA 后备匹配。 - 带有清晰仪表板徽章和公开安全配置的演示模式。 ## 架构 FastAPI 提供 API 和静态前端服务。SQLite 是默认的演示数据库。Redis/Celery 可用于工作节点式的分析队列。在公开的 MVP 中，沙箱层是面向模拟的。 ## 技术栈 - 前端：HTML、CSS、原生 JavaScript - 后端：FastAPI、SQLAlchemy、Pydantic - 工作节点：Celery、Redis - 分析：静态解析器、YARA/后备规则、启发式 ML 评分 ## 截图  | 列表视图 | 详情视图 | 设置 | | --- | --- | --- | |  |  |  | ## 快速开始 ``` cp .env.example .env cd backend python -m venv .venv .venv\Scripts\activate pip install -r requirements.txt uvicorn app.main:app --reload --port 8000 ``` 仪表板： API 文档： ## 演示模式 设置 `THREATVAULT_DEMO_MODE=true`。演示模式是公开安全的，不需要身份验证、SMTP 或外部凭据。报告仅是本地演示产物。 ## 环境变量 使用 `.env.example`。请勿提交私有的 `.env`、上传文件、数据库或训练好的模型文件。重要变量包括 `THREATVAULT_DEMO_MODE`、`THREATVAULT_DATABASE_URL`、`THREATVAULT_REDIS_URL`、`THREATVAULT_ENABLE_*` 和 Celery URL。 ## API 概览 - `POST /api/v1/scan` - 提交文件以进行本地演示分析。 - `GET /api/v1/report/{id}` - 获取报告。 - `GET /api/v1/report/hash/{sha256}` - 通过哈希值查询。 - `GET /api/v1/stats` - 仪表板统计数据。 - `GET /health` - 健康检查。 ## 项目结构 ``` backend/ FastAPI app and analysis services frontend/ Static dashboard rules/ YARA rules docker/ Container config scripts/ Demo helpers ``` ## 安全范围 ThreatVault 仅用于防御目的。它不得包含恶意软件、凭据窃取、隐蔽性、持久化、绕过 AV、漏洞利用投放、未经授权的远程控制或破坏性行为。公开的沙箱行为是模拟模式，而非真正的隔离。 ## 路线图 - 添加更丰富的良性演示样本元数据。 - 添加报告对比视图。 - 添加 STIX/TAXII 导出规划。 - 添加只读的托管演示模式。 - 仅在私有的生产研究中添加真正的隔离沙箱集成。 ## KRYNEX 生态系统 ThreatVault 补充了 SentinelX 端点遥测、LogForge 日志管理和 VulnScope 暴露管理。 ## 许可证 MIT。

标签：AV绕过, DAST, FastAPI, Web安全分析, YARA, 云资产可视化, 多模态安全, 安全监控, 安全运营中心, 恶意软件分析, 搜索引擎查询, 数据可视化, 网络映射, 请求拦截, 逆向工具