Strix Advanced Tools
KO

우리를 검증하세요 — 그저 믿지만 마세요.

Strix Advanced Tools는 무료이며 오픈 소스(MIT)이고, 완전히 오프라인으로 작동하도록 만들어졌습니다. 저희의 Windows 빌드는 아직 유료 인증서로 코드 서명되지 않았습니다 — 저희는 작고 독립적이며 예산이 전혀 없는 프로젝트이며, 이를 숨기기보다 솔직히 밝히고자 합니다. 모든 도구가 오픈 소스이므로, 여러분은 무엇도 저희 말만 믿을 필요가 없습니다. 다음은 직접 확인하는 방법입니다.

마지막 업데이트

📖

소스가 공개되어 있습니다

모든 도구는 MIT 라이선스의 공개 GitHub 저장소입니다. 모든 코드를 읽고, 직접 다시 빌드하여, 도구가 주장하는 그대로 작동하는지 확인하세요.

🔗

빌드가 증명되어 있습니다

각 릴리스에는 GitHub 빌드 출처 증명(SLSA Build L2)이 포함됩니다 — 파일이 이 소스로부터 GitHub의 서버에서 빌드되었고 이후 변경되지 않았다는 암호학적 증거입니다.

✈️

어떤 것도 몰래 통신하지 않습니다

데스크톱 도구는 네트워크 호출을 전혀 하지 않습니다. 네트워크 케이블을 뽑아도 여전히 작동하고, 아웃바운드 트래픽을 지켜봐도 아무것도 보이지 않습니다.

다운로드 검증

검증은 선택 사항입니다 — GitHub 릴리스에서 다운로드했다면 이미 문제없습니다. 하지만 확실히 하고 싶다면, 모든 릴리스에 SHA256SUMS 파일이 함께 제공되며, 다음은 그것과 대조하는 방법입니다. 예시 파일 이름을 여러분이 다운로드한 도구로 바꾸세요.

🪟 Windows체크섬 확인

다운로드를 저장한 폴더에서 PowerShell을 실행하세요:

Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256

출력된 해시를 SHA256SUMS의 해당 줄과 비교하세요. 둘이 동일하면 그 파일은 저희가 게시한 것과 바이트 단위로 일치합니다:

Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     3F2A…  (compare this to the value in SHA256SUMS)                    …\Strix-Inspector-Setup.exe
🐧 Linux체크섬 확인

다운로드와 그 SHA256SUMS 파일을 같은 폴더에 두고 다음을 실행하세요:

sha256sum -c SHA256SUMS

파일마다 한 단어로 답이 나옵니다 — OK 가 나와야 합니다:

Strix-Inspector-Setup.exe: OK
🔗 모든 OS빌드 출처 검증

체크섬보다 강력합니다: 바이너리가 저희의 공개 CI에서 공개 소스로부터 빌드되었음을 증명합니다. GitHub CLI 2.49+ 가 필요합니다: GitHub CLI

gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector

파일을 생성한 정확한 소스 저장소의 이름이 표시된 녹색 성공 줄이 나타납니다:

Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!

  - Source Repository: strix-tool/strix-inspector
  - Predicate type:    https://slsa.dev/provenance/v1

체크섬은 각 GitHub Release에 게시되고 HTTPS로 미러링됩니다 — 예시 SHA256SUMS. 출처 증명은 저희가 아니라 GitHub에 저장되므로, 저희도, 침해된 다운로드 미러도 이를 위조할 수 없습니다. SHA256SUMS

어떤 데이터가 기기를 벗어나는가

짧게 말하면: 데스크톱 도구의 경우 전혀 없습니다. 다음은 전체 내용이며 — 각 행은 패킷 캡처로 직접 확인할 수 있는 것들입니다.

카테고리무엇인가어디로 가는가
여러분이 처리하는 파일메타데이터, 디스크 내용, 아카이브 — 여러분의 기기에서 제자리에서 읽고 씁니다.절대 업로드되지 않습니다. 어디로도 아무것도 전송되지 않습니다.
여러분의 시스템 정보호스트 이름, 사용자 이름, 일련번호, IP, 하드웨어 — 앱 내에서만 표시됩니다.로컬에서 표시되며, 절대 전송되지 않습니다.
설정 및 보고서기본 설정, 로그, HTML/PDF 보고서.디스크에 저장됩니다(%LOCALAPPDATA% / ~/.config). 서버로 절대 동기화되지 않습니다.
사용 및 오류 분석없음. 분석 SDK도, 텔레메트리도, 몰래 하는 통신도 없습니다.그 어떤 것도 절대 수집되지 않습니다.
네트워크 이그레스(데스크톱 도구)MetaVault, Pulse, Inspector, Sentinel, Sinkhole, Talon.아웃바운드 소켓이 하나도 없습니다. 네트워크를 끊어도 — 여전히 작동합니다.
네트워크 이그레스(정찰 도구)Vantage와 Archer — 네트워크가 본연의 임무인 도구입니다.여러분이 명시적으로 실행하는 키 없는 공개 API만 사용하며, 동의 절차를 거친 뒤 시간 제한으로 제약됩니다.

백신 및 SmartScreen 경고

저희의 Windows 앱은 서명되지 않았고 PyInstaller로 패키징되었기 때문에, Windows SmartScreen이 “알 수 없는 게시자” or “자주 다운로드되지 않음,” 라고 표시할 수 있으며, 약 70개의 백신 엔진 중 소수가 설치 프로그램을 신고할 수 있습니다. 이는 새롭고 서명되지 않은 오픈 소스 소프트웨어에서 예상되는 일입니다 — 실제 악성코드를 탐지한 것이 아니라 앱이 패키징된 방식에 대한 일반적인 휴리스틱입니다.

릴리스가 나오면 빌드마다 실시간 VirusTotal 스캔 링크를 제공하여, 여러분이 현재 결과를 직접 확인할 수 있게 합니다. 저희는 "깨끗한 스캔" 스크린샷을 게시하거나 "탐지 없음"을 주장하는 일이 결코 없습니다 — 클릭할 수 있는 실시간 링크가 다음 빌드에서 낡아버리는 스크린샷보다 낫습니다.

소스를 읽으세요

무엇보다 강력한 보증입니다. 어떤 저장소든 socket, urllib, requests, http 를 grep 하여 무엇이 네트워크에 접근하는지 — 그리고 접근하지 않는지 — 직접 확인하세요.

위협 모델

Strix가 방어하는 대상
파일 메타데이터를 통한 데이터 유출, 폐기된 드라이브에서 복구 가능한 데이터, 추적기/텔레메트리/광고 도메인, 은밀한 아웃바운드 연결, 알 수 없는 자동 시작 항목과 기기, 그리고 여러분이 검사할 수 없는 비공개 소스 도구.
Strix가 아닌 것
백신/EDR도, 샌드박스도, 이미 침해된 OS나 관리자 권한으로 실행 중인 악성코드에 대한 방어책도 아닙니다. 데스크톱 도구는 정보를 드러내고 여러분의 명령에 따라 작동합니다. 실시간으로 능동적인 위협에 맞서 싸우지는 않습니다.
신뢰 경계
출처 증명은 다운로드가 GitHub CI를 통해 이 공개 소스로부터 변경 없이 왔음을 증명합니다. 소스가 무해하다는 것을 증명하지는 않습니다 — 그것은 여러분이 읽고 다시 빌드할 수 있는 공개된 MIT 코드가 하는 역할입니다.

취약점을 발견하셨나요?

비공개로 신고해 주세요 — 보안 버그에 대해서는 공개 이슈를 열지 말아 주세요. 각 저장소에는 위협 모델과 협력적 공개 경로를 담은 SECURITY.md가 있으며, GitHub 비공개 취약점 신고가 활성화되어 있습니다. 저희는 보복하지 않으며, 원하신다면 공로를 표기해 드립니다.