Strix Advanced Tools
ZH

请验证我们——而不只是信任我们。

Strix Advanced Tools 免费、开源(MIT),并且为完全离线运行而打造。我们的 Windows 构建尚未使用付费证书进行代码签名——我们是一个小型、独立、零预算的项目,与其掩盖这一点,我们宁愿坦然说明。由于每款工具都是开源的,你无需对任何事情听信我们的一面之词。以下是你亲自核实的方法。

最后更新

📖

源代码是公开的

每款工具都是采用 MIT 许可证的公开 GitHub 仓库。阅读每一行代码、自行重新编译,并确认它所做的与它声称的完全一致。

🔗

构建经过证明

每个版本都附带 GitHub 构建来源证明(SLSA Build L2)——这是一份密码学证据,证明该文件是在 GitHub 的服务器上、由此源代码构建而成,且此后未被改动。

✈️

没有任何“回传”行为

桌面工具不发起任何网络调用。拔掉网线,它们照常运行;监测你的出站流量,你将一无所见。

验证你的下载

验证是可选的——如果你是从 GitHub 版本发布处下载的,那便已经没有问题。但如果你想确认无误,每个版本都附带一个 SHA256SUMS 文件,以下是据此核对的方法。请将示例文件名替换为你所下载的工具。

🪟 Windows核对校验和

在保存下载文件的文件夹中,运行 PowerShell:

Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256

将输出的哈希值与 SHA256SUMS 中对应的行进行比对。如果二者完全一致,则该文件与我们发布的内容逐字节相同:

Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     3F2A…  (compare this to the value in SHA256SUMS)                    …\Strix-Inspector-Setup.exe
🐧 Linux核对校验和

将下载文件及其 SHA256SUMS 放入同一文件夹,然后:

sha256sum -c SHA256SUMS

每个文件返回一个单词的结果——你希望看到 OK:

Strix-Inspector-Setup.exe: OK
🔗 任意操作系统验证构建来源

比校验和更有力:证明该二进制文件是在我们公开的 CI 中、由我们公开的源代码构建而成。需要 GitHub CLI 2.49+: GitHub CLI

gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector

一行绿色的成功提示,指明生成该文件的确切源代码仓库:

Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!

  - Source Repository: strix-tool/strix-inspector
  - Predicate type:    https://slsa.dev/provenance/v1

校验和会在每个 GitHub Release 中发布,并通过 HTTPS 镜像分发——例如 SHA256SUMS。来源证明存储在 GitHub 上,而非由我们保管,因此无论是我们,还是被入侵的下载镜像,都无法伪造它。 SHA256SUMS

哪些数据会离开你的机器

简而言之:对于桌面工具,没有任何数据离开。以下是完整说明——每一行都可以通过抓包来核实。

类别具体内容去向
你处理的文件元数据、磁盘内容、归档文件——在你的机器上就地读写。从不上传。不会向任何地方发送任何内容。
你的系统信息主机名、用户名、序列号、IP 地址、硬件——仅在应用内部显示。本地显示;从不传输。
设置与报告偏好设置、日志、HTML/PDF 报告。保存在磁盘上(%LOCALAPPDATA% / ~/.config);从不同步到服务器。
使用与崩溃分析没有。没有任何分析 SDK、没有遥测、没有回传。从不收集任何数据。
网络出站流量(桌面工具)MetaVault、Pulse、Inspector、Sentinel、Sinkhole、Talon。没有任何出站 socket。断开网络——它们照常运行。
网络出站流量(侦察工具)Vantage 与 Archer——它们的本职工作就是网络。仅在同意确认之后,由你明确触发的无需密钥的公开 API,并受超时限制。

杀毒软件与 SmartScreen 警告

由于我们的 Windows 应用未经签名且使用 PyInstaller 打包,Windows SmartScreen 可能会提示 “未知发布者” or “不常被下载,” 而约 70 款杀毒引擎中的少数几款可能会标记该安装程序。 对于全新、未签名的开源软件而言,这是意料之中的——它是一种针对应用打包方式的通用启发式判断,而非检测到真正的恶意软件。

每当一个版本发布后,我们都会为每个构建附上一个实时的 VirusTotal 扫描链接,以便你亲自查看当前结果。我们绝不会发布“扫描无异常”的截图或声称“零检出”——一个你可以点击的实时链接,胜过一张在下个构建就会过时的截图。

阅读源代码

这是最有力的保证。在任意仓库中 grep 搜索 socket、urllib、requests 或 http,亲眼看看哪些代码会触及网络——哪些不会。

威胁模型

Strix 防范什么
通过文件元数据泄露的数据、被丢弃磁盘上可恢复的数据、追踪器/遥测/广告域名、悄无声息的出站连接、未知的自启动项与设备,以及你无法审查的闭源工具。
Strix 不是什么
它不是杀毒软件/EDR,不是沙箱,也不能防御已被入侵的操作系统或已以管理员权限运行的恶意软件。桌面工具呈现信息并按你的指令行事;它们不会实时对抗活跃威胁。
信任边界
来源证明能证实某个下载是经由 GitHub CI、未经修改地来自此公开源代码。它并不能证明源代码本身无害——这正是开放的 MIT 代码的意义所在,你可以阅读并重新编译它。

发现了漏洞?

请私下报告——请勿为安全漏洞公开提交 issue。每个仓库都有一份 SECURITY.md,其中包含威胁模型和一条协同披露渠道,并已启用 GitHub 私密漏洞报告功能。我们不会进行任何报复,如果你愿意,我们会在致谢中署上你的名字。