0xSec1/VoidWalker

## VoidWalker: 自动化KVM/QEMU加固框架 VoidWalker 是一个基于 Python 的编排工具，旨在将标准、可检测的 KVM 虚拟机转变为“裸金属”诱饵。通过操纵虚拟机管理程序的硬件抽象层，VoidWalker 能够绕过恶意软件作者使用的高级反虚拟机规避技术。 ## 主要特性 * **CPUID 屏蔽**：自动禁用“管理程序存在位”（ECX 的第 31 位）并伪造 CPUID 叶（0x40000000），使其返回硬件准确的供应商字符串。 * **动态 SMBIOS 伪造**：注入随机但逼真的系统身份信息（例如 Dell, ASUS 等），包括制造商、产品名称、BIOS 版本和机箱类型。 * **智能 UUID 同步**：确保顶层域 UUID 与 SMBIOS `` 块严格一致，以维护 Libvirt XML 的完整性并防止定义失败。 * **自动化实验室配置**：具有一键式 CLI 功能，可备份现有配置、应用加固补丁并在几秒内重新定义虚拟机环境。 * **网络隐身**：使用来自合法硬件供应商的 OUI 前缀随机生成 MAC 地址，以规避基于网络的环境指纹识别。 * **磁盘伪造**：一个客户端 PowerShell 脚本（`guest_clean_windows.ps1`）（临时解决方案），用于覆盖注册表位置中可见的磁盘标识符。 ## 技术栈 * **语言**：Python 3.13+。 * **接口**：Libvirt API（通过 libvirt-python）。 * **解析引擎**：lxml 和 xml.etree.ElementTree 用于健壮的 XML 转换。 ## 安装说明 1. 克隆并进入项目： ``` git clone https://github.com/0xSec1/VoidWalker.git cd VoidWalker ``` 2. 初始化虚拟环境： ``` python3 -m venv .venv source .venv/bin/activate ``` 3. 安装核心依赖： ``` pip install -r requirements.txt ``` ## 使用方法 `harden` 命令自动化整个伪装过程。默认情况下，VoidWalker 配置为使用 Dell 硬件配置文件。 主要命令： ``` sudo -E python3 main.py harden win10 --profile PROFILE_NAME --random-mac ``` 用于磁盘伪造： 1. 将脚本复制到客户虚拟机 2. 运行脚本 ``` Set-ExecutionPolicy Bypass .\guest_clean_windows.ps1 ``` ## 贡献 欢迎所有人参与贡献。

标签：CPUID欺骗, DAST, DNS 解析, KVM加固, Libvirt API, MAC地址随机化, QEMU虚拟化, SMBIOS欺骗, UUID同步, XML解析, 反VM规避, 反沙箱技术, 多语言支持, 安全测试框架, 恶意软件分析, 恶意软件检测绕过, 沙箱环境, 电子取证, 硬件抽象层, 硬件配置伪装, 磁盘标识欺骗, 网络隐身, 自动化配置, 虚拟化安全, 逆向工具