Überprüfen Sie uns — vertrauen Sie uns nicht einfach.
Die Strix Advanced Tools sind kostenlos, quelloffen (MIT) und darauf ausgelegt, vollständig offline zu laufen. Unsere Windows-Builds sind noch nicht mit einem kostenpflichtigen Zertifikat code-signiert — wir sind ein kleines, unabhängiges Projekt ohne Budget, und wir sagen das lieber offen, als es zu verbergen. Da jedes Werkzeug quelloffen ist, müssen Sie uns nichts einfach glauben. So können Sie es selbst überprüfen.
Zuletzt aktualisiert
📖
Der Quellcode ist öffentlich
Jedes Werkzeug ist ein öffentliches GitHub-Repository unter der MIT-Lizenz. Lesen Sie jede Zeile, kompilieren Sie es selbst und bestätigen Sie, dass es genau das tut, was es verspricht.
🔗
Die Builds sind attestiert
Jede Veröffentlichung trägt eine GitHub-Build-Provenance-Attestierung (SLSA Build L2) — ein kryptografischer Nachweis, dass die Datei aus diesem Quellcode auf den Servern von GitHub erstellt und seither nicht verändert wurde.
✈️
Nichts funkt nach Hause
Die Desktop-Werkzeuge führen keinerlei Netzwerkaufrufe aus. Ziehen Sie Ihr Netzwerkkabel ab, und sie funktionieren weiterhin; beobachten Sie Ihren ausgehenden Datenverkehr, und Sie sehen keinen.
Überprüfen Sie Ihren Download
Die Überprüfung ist optional — wenn Sie aus einer GitHub-Veröffentlichung heruntergeladen haben, ist bereits alles in Ordnung. Falls Sie aber sichergehen möchten: Jede Veröffentlichung enthält eine SHA256SUMS-Datei, und so gleichen Sie damit ab. Ersetzen Sie den Beispieldateinamen durch das Werkzeug, das Sie heruntergeladen haben.
🪟 WindowsPrüfsumme kontrollieren
Führen Sie im Ordner, in dem Sie den Download gespeichert haben, PowerShell aus:
Vergleichen Sie den ausgegebenen Hash mit der passenden Zeile in SHA256SUMS. Sind sie identisch, entspricht die Datei Byte für Byte dem, was wir veröffentlicht haben:
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 LinuxPrüfsumme kontrollieren
Legen Sie den Download und die zugehörige SHA256SUMS in denselben Ordner, dann:
sha256sum -c SHA256SUMS
Eine Ein-Wort-Antwort pro Datei — Sie möchten OK sehen:
Stärker als eine Prüfsumme: Weisen Sie nach, dass die Binärdatei aus unserem öffentlichen Quellcode in unserer öffentlichen CI erstellt wurde. Erfordert die GitHub CLI 2.49+: GitHub CLI
Prüfsummen werden in jedem GitHub Release veröffentlicht und über HTTPS gespiegelt — Beispiel: SHA256SUMS. Die Provenance-Attestierung wird bei GitHub gespeichert, nicht bei uns, sodass weder wir noch ein kompromittierter Download-Spiegel sie fälschen können. SHA256SUMS
Welche Daten Ihren Rechner verlassen
Die Kurzfassung: bei den Desktop-Werkzeugen keine. Hier die vollständige Übersicht — und jede Zeile lässt sich mit einem Paketmitschnitt bestätigen.
Kategorie
Worum es sich handelt
Wohin es geht
Die Dateien, die Sie verarbeiten
Metadaten, Datenträgerinhalte, Archive — direkt auf Ihrem Rechner gelesen und geschrieben.
Niemals hochgeladen. Es wird nichts irgendwohin gesendet.
Ihre Systemdetails
Hostname, Benutzername, Seriennummern, IPs, Hardware — nur innerhalb der App angezeigt.
Lokal angezeigt; niemals übertragen.
Einstellungen und Berichte
Präferenzen, Protokolle, HTML-/PDF-Berichte.
Auf dem Datenträger gespeichert (%LOCALAPPDATA% / ~/.config); niemals mit einem Server synchronisiert.
Nutzungs- und Absturzanalyse
Keine. Es gibt kein Analyse-SDK, keine Telemetrie, kein Nach-Hause-Funken.
Null ausgehende Sockets. Trennen Sie die Netzwerkverbindung — sie funktionieren weiterhin.
Netzwerkausgang (Recon-Werkzeuge)
Vantage und Archer — deren gesamte Aufgabe das Netzwerk ist.
Nur schlüssellose öffentliche APIs, die Sie ausdrücklich auslösen, nach einer Einwilligungsabfrage und begrenzt durch Zeitlimits.
Antiviren- und SmartScreen-Warnungen
Da unsere Windows-Apps unsigniert und mit PyInstaller gepackt sind, meldet Windows SmartScreen möglicherweise “unbekannter Herausgeber” or “nicht häufig heruntergeladen,” und eine Handvoll der rund 70 Antiviren-Engines schlägt beim Installer möglicherweise an. Das ist bei neuer, unsignierter Open-Source-Software zu erwarten — es handelt sich um eine allgemeine Heuristik dazu, wie die App gepackt ist, nicht um die Erkennung tatsächlicher Schadsoftware.
Warum es passiert: Der PyInstaller-Bootloader ist ein verbreitetes Verpackungsformat (auch Schadsoftware nutzt es), eine brandneue Datei hat keine Download-Reputation, und unsignierte Binärdateien erhalten einen „verdächtig, bis das Gegenteil bewiesen ist“-Malus.
Der eigentliche Beweis sind die Prüfsumme und die Provenance-Attestierung oben sowie der Quellcode, den Sie lesen können — nicht die Heuristik irgendeines Anbieters.
Was wir tun: Wir melden Fehlalarme an die Anbieter, sobald sie auftreten, und wir bewerben uns für das kostenlose Code-Signing-Programm der SignPath Foundation für Open-Source-Projekte, das wir einführen, sobald sich Reputation aufbaut.
Bitte deaktivieren Sie niemals Ihr Antivirenprogramm. Wenn Sie unsicher sind, überprüfen Sie die Prüfsumme oder führen Sie das Werkzeug aus dem Quellcode aus.
Sobald eine Version veröffentlicht ist, verlinken wir pro Build einen aktuellen VirusTotal-Scan, damit Sie das aktuelle Ergebnis selbst sehen können. Wir werden niemals einen „sauberer Scan“-Screenshot posten oder „null Erkennungen“ behaupten — ein anklickbarer Live-Link schlägt einen Screenshot, der beim nächsten Build veraltet ist.
Lesen Sie den Quellcode
Die stärkste Zusicherung überhaupt. Durchsuchen Sie ein beliebiges Repository (grep) nach socket, urllib, requests oder http und sehen Sie selbst, was auf das Netzwerk zugreift — und was nicht.
Daten, die über Datei-Metadaten abfließen, wiederherstellbare Daten auf ausgemusterten Datenträgern, Tracker-/Telemetrie-/Werbedomains, stille ausgehende Verbindungen, unbekannte Autostarts und Geräte sowie Closed-Source-Werkzeuge, die Sie nicht prüfen können.
Was Strix NICHT ist
Es ist kein Antivirus/EDR, keine Sandbox und kein Schutz gegen ein kompromittiertes Betriebssystem oder Schadsoftware, die bereits mit Administratorrechten läuft. Die Desktop-Werkzeuge machen Informationen sichtbar und handeln auf Ihren Befehl; sie bekämpfen keine aktiven Bedrohungen in Echtzeit.
Vertrauensgrenze
Provenance beweist, dass ein Download unverändert aus diesem öffentlichen Quellcode über GitHub CI stammt. Sie beweist nicht, dass der Quellcode harmlos ist — dafür ist der offene MIT-Code da, den Sie lesen und neu kompilieren können.
Eine Schwachstelle gefunden?
Melden Sie sie privat — bitte öffnen Sie für einen Sicherheitsfehler kein öffentliches Issue. Jedes Repository hat eine SECURITY.md mit dem Bedrohungsmodell und einem Weg zur koordinierten Offenlegung, und die private Schwachstellenmeldung von GitHub ist aktiviert. Wir üben keine Vergeltung und nennen Sie auf Wunsch namentlich.