SHADOWCYPHER

独立主权战术套件 + 个人安全平台

在巨头的碰撞中——Google、Apple 和 Microsoft 划定了战局——ShadowCypher 依然是唯一的主权信号。当巨头倒下、万物皆不安全之时，ShadowCypher 即是新领域的基础架构。

## 起源 ShadowCypher 并非诞生于会议室。它诞生于战壕中——无数个深夜在充满敌意的网络中追踪数据包，目睹商业工具在真实环境的压力下崩溃，并厌倦了那些承诺主权却记录每一次按键的平台。 该项目源于一个简单的信念：**操作员的工具包应只对操作员负责。** 没有遥测数据。没有云依赖。没有在别人认为你的订阅不值他们的服务器成本时就会过期的 API key。 最初只是一组 shell 脚本和 Python 封装工具，现已发展为一个统一的战术操作环境——一个原生 GTK 仪表盘，由编译好的 Go 信号中继、本地 AI 推理引擎以及 30 多个专门构建的攻防模块提供支持。这个仓库中的每一行代码之所以存在，都是因为在实战中需要它们，而不是为了在功能列表上好看。 ## 架构概述 ShadowCypher 是一个双核系统。编排层运行在 **Python 3.12** 上，带有 GTK-3.0 接口，处理从任务派发到 AI 推理路由的所有事务。信号层运行在**编译好的 Go** 上，为集群协调、节点发现和低延迟命令传播提供高性能的 WebSocket 中继。 ``` ┌─────────────────────────────────────────────────────────────────┐ │ SHADOWCYPHER v4.0.0 │ ├────────────────────┬────────────────────┬───────────────────────┤ │ GTK-3.0 UI │ AI Engine │ Native Core (Go) │ │ ───────────── │ ────────── │ ──────────────── │ │ Cairo Gauges │ Ollama (GPU) │ WebSocket Relay │ │ Page Router │ Quantum-Core │ Swarm Discovery │ │ TacticalTerminal │ MetaChain Agent │ Token Auth │ │ Sidebar Nav │ Classic Brain │ Stealth Module │ ├────────────────────┴────────────────────┴───────────────────────┤ │ EVENT BUS (ShadowBus) │ │ Thread-safe pub/sub + async dispatch │ ├─────────────────────────────────────────────────────────────────┤ │ Config Engine │ Runner │ Forensics │ Security │ Logger │ │ (Pydantic) │ (Exec) │ (Registry) │ (AES/RSA) │ (JSONL)│ └─────────────────────────────────────────────────────────────────┘ ``` ### 为何选择此技术栈 | 决策 | 理由 | |---|---| | 选择 **GTK-3.0** 而非 Electron | 占用空间 40MB 对比 400MB。原生渲染。在执行任务期间不会给你的 GPU 带来 Chromium 的沉重负担。 | | 选择 **Go 中继** 而非纯 Python | 能够处理 10,000+ 并发连接的 WebSocket。Python 的 GIL 导致这在原生层面上不可能实现。 | | 选择**本地 Ollama** 而非云 API | 你的 prompt 永远不会离开你的机器。模型权重存在于你的 GPU 上。没有速率限制，没有日志，没有传票。 | | 选择 **Pydantic 配置** 而非 YAML | 加载时进行类型验证。注入环境变量。再也不用在凌晨两点调试“为什么我的端口是一个字符串”。 | | **AES-256-GCM + X25519** | 带有前向保密密钥交换的 AEAD 加密。每次聊天会话都会生成短暂密钥，会话结束时密钥即失效。 | ## 战术分支 ### 🧠 NEXUS-COMMAND — 态势感知与 AI 操作 神经中枢。操作员了解其环境状态并发布指令所需的一切。 | 模块 | 功能描述 | |---|---| | **Central Command HUD** | 使用 Cairo 矢量图形构建的实时操作仪表盘。三个弧形仪表（CPU、RAM、磁盘），在 65% 和 85% 阈值处动态变色。武器库状态网格显示主机上安装了哪些工具。实时任务遥测数据流。每 1.5 秒刷新一次，零 socket 开销。 | | **Shadow-Synthesizer** | 本地 AI 对话接口。支持任何兼容 Ollama 的模型（Gemma、LLaMA、DeepSeek、Mistral、Phi、Qwen）。流式 token 输出。带有每个会话上下文的对话历史记录。支持在 Ollama REST 和 llama-cpp-python 之间切换后端，以实现最大的硬件兼容性。 | | **Quantum-Core** | 深度分析 AI 模式。当任务需要多步推理时——分析数据包捕获、分解二进制文件或规划多阶段交战——Quantum-Core 会使用专门的系统 prompt 与本地模型交互，强制进行逐步推理和自我验证。完全通过你的本地 Ollama 实例运行。无外部依赖。 | | **Spectre War-Map** | 网络拓扑可视化。在交互式画布上渲染已发现的节点，显示连接状态、延迟指示器以及通过 GeoIP 进行的地理位置估算。与 Nexus Relay 集成以实现实时节点发现。 | | **ShadowScript Lab** | 自定义战术脚本语言，包含手写的词法分析器、递归下降解析器和树遍历解释器。专为在特定领域语法中编排复杂的多工具交战而设计。包含参考语法指南。 | ### 🕵️ COVERT-INTEL — 侦察与情报收集 跨越协议栈每一层的被动和主动情报收集。 | 模块 | 功能描述 | |---|---| | **Signal Analysis** | 由 Nmap 驱动的深度网络侦察。在统一的 GTK 界面中进行服务版本检测、OS 指纹识别、脚本扫描和路由追踪。解析结果并输入到取证注册表中进行关联。 | | **Spectral Intelligence** | OSINT 工具包。基于 Sherlock 的跨 300+ 平台用户名枚举。WHOIS 查询。DNS 记录枚举（A、AAAA、MX、NS、TXT、SOA）。反向 IP 解析。所有结果均存储在本地取证数据库中。 | | **Infrastructure Recon** | 全栈主机发现。用于本地网络映射的 ARP 扫描。TCP/UDP 端口扫描。Banner 抓取。SSL 证书检查。旨在在交战前构建目标环境的完整图景。 | | **Vulnerability Sweep** | 基于 Nuclei 的漏洞扫描，支持严重性过滤和基于标签的定向扫描。自定义模板支持。结果通过 SearchSploit 与 Exploit-DB 进行交叉比对，以实现即时可操作性。 | | **Gaming Asset Audit** | Steam/游戏平台安全分析。账号暴露检查、会话 token 验证以及特定平台的漏洞评估。 | ### ⚔️ OFFENSIVE-LAB — 漏洞利用与 Payload 工程 专为授权的渗透测试和红队操作构建的工具。 | 模块 | 功能描述 | |---|---| | **DeepHat Apex** | AI 驱动的攻击脚本合成。MetaChain 自主 Agent 将高层目标（“发现并利用 10.0.0.5 上的 FTP 漏洞”）分解为离散的工具调用，按顺序执行它们，并合成结果。由 AutoAgent 框架和包含 30 多种工具的注册表提供支持。 | | **Ghost Factory** | 多平台 payload 生成。封装 `msfvenom` 以生成针对 Linux、Windows 和 macOS 的 Meterpreter payload。支持 ELF、EXE、Mach-O、raw 和 Python 输出格式。跟踪生成的 payload 及其变异历史。 | | **Phishing Synthesis** | 社会工程学活动锻造厂。基于模板的钓鱼页面生成，通过自动化的 Cloudflare 隧道暴露以实现即时 HTTPS。集成 Let's Encrypt 用于自定义域名部署。凭据捕获与中继。 | | **Ghost-Hose** | 网络压力测试引擎。五种攻击模式：UDP flood、TCP SYN、Layer 7 HTTP、Slowloris 和混合模式。可配置的线程数、持续时间限制和实时吞吐量报告。专为授权的实验环境和测试沙箱而构建。 | | **Web Layer Attacks** | 统一界面中的 SQL 注入、XSS、SSRF 和目录模糊测试 (ffuf)。支持自动扫描和使用自定义 payload 的手动注入。 | | **Key Harvester** | 凭据攻击套件。使用 Hydra 进行网络暴力破解（SSH、FTP、RDP、SMB、HTTP）。使用 John the Ripper 和 Hashcat 进行带 GPU 加速的离线哈希破解。字典管理和自定义规则生成。 | | **Wireless Saturation** | 802.11 攻击工具包。集成 Aircrack-ng 用于 WPA/WPA2 破解、反认证攻击和无线网络枚举。监控模式管理。 | ### 🛡️ SOVEREIGN-OPS — 通信、防御与系统完整性 让你保持连接、加密和隐身的基础设施。 | 模块 | 功能描述 | |---|---| | **Sovereign Chat** | 生产级 WebSocket 通信枢纽，取代了传统的 IRC。支持带有在线状态追踪的多房间。**静态存储使用 AES-256-GCM 加密**，密钥由每个房间独立派生。每次会话均使用 **X25519 ECDH 短暂密钥交换**以确保前向保密——即使某个会话密钥被泄露，过去和未来的会话依然安全。SQLite 消息持久化，支持可配置的保留策略。 | | **Go Signal Relay** | 处理集群协调 WebSocket 连接的编译型原生二进制文件 (9.2MB)。基于 Token 的身份验证。亚毫秒级消息中继。作为后台进程运行，如果二进制文件过期，启动器会自动从源代码重新编译。 | | **ShadowSentinel (IRC Bot)** | Skybot 风格的模块化 IRC 机器人，具有 20 多个命令。可连接到外部 IRC (Libera) 和独立的 Ergo 服务器。通过 Classic Brain（ELIZA + Markov 链，零网络，完全离线）实现每个用户的对话记忆。使用 SHA-256 工作量证明挑战进行用户验证。捕获 CTCP 指纹并关联 WHOIS 信息以进行取证分析。 | | **Wraith Protocol** | 紧急锁定界面。Spectre Flash-Wipe 可在单次操作中清除所有短暂的任务数据、会话密钥和取证痕迹。隧道终止会杀死所有活动进程。日志清除可删除操作痕迹。确认对话框可防止误触激活。 | | **God-Panel** | 全频谱系统控制。实时子系统矩阵，显示每个服务（Ollama、Go Relay、Sovereign Chat、Sisyphus、IRC Sentinel）的状态及实时延迟探测。AI 模型热切换。完整性基线重新生成。进程终止。威胁注册表查看器。 | | **Sisyphus Sentinel** | 持续完整性监控。每 60 秒周期对项目中的每个 Python 源文件进行 SHA-256 哈希校验。检测未经授权的修改、语法损坏和依赖项篡改。检测到违规时通过事件总线广播警报。以神话人物命名——因为守护代码完整性是一项永无止境的任务。 | | **Citadel Security** | 采用 PBKDF2 密钥派生（200,000 次迭代）的 AES-256-GCM 保险库加密。用于管理员与用户通信的 RSA-OAEP 非对称票据加密。用于机器级身份验证的硬件指纹识别。SSH 蜜罐 (端口 2222)，伪装成 OpenSSH 7.4 以诱捕并记录攻击者。 | ### 👻 GHOST-PROTOCOL — 操作匿名化与反取证 当你绝对不能被发现时的全面隐身操作。 | 模块 | 功能描述 | |---|---| | **Ghost Mode** | 一键实现全面隐身。8 个层级：iptables 终止开关（强制所有流量通过 Tor）、MAC 随机化、主机名/时区中性化、DNS 泄漏防护、仅内存工作区、系统日志抑制。退出时完全恢复原状态。 | | **Shadow Audit** | 综合匿名链验证器。测试 Tor、DNS 泄漏、MAC 指纹识别、主机名/时区暴露、防火墙规则、mesh 密钥权限、WireGuard 配置、浏览器指纹。返回匿名性评分并具备自动修复能力。 | | **Traffic Mirage** | 深度包检测规避。obfs4 桥接配置（使 Tor 流量看起来像 HTTPS）、逼真的掩护流量生成、DNS 隧道设置、通过 `tc netem` 进行的流量时间混淆以对抗关联攻击。 | | **Dead Drop** | 反取证工具包。7 次覆盖的安全文件粉碎（在取消链接前随机重命名）、交换分区清理、空闲空间擦除、LUKS 加密的 USB 死亡开关创建，以及可在瞬间摧毁所有密钥、数据库、配置和日志的紧急 PANIC 按钮。 | | **Trace Eraser** | 深度取证日志清除器。擦除 shell 历史（12 种类型）、系统日志（auth、syslog、kern、daemon）、应用程序痕迹、systemd journal、wtmp/btmp/lastlog、缩略图缓存和最近使用的文件。时间戳混淆模式可随机化文件访问时间。 | | **Tor Cloak** | 完整的 Tor 生命周期管理器。启动/停止/验证 Tor、通过 ControlPort 轮换电路、经 Tor 代理的 fetch 和 shell 会话、IP 保护强化（DNS 重定向、WebRTC 泄漏信息、MAC 检查）。 | ### 🛡️ GUARDIAN — 个人设备安全 保护你拥有的一切。手机、个人电脑、平板电脑、路由器、电视、IoT 设备。 | 模块 | 功能描述 | |---|---| | **Network Scan** | 通过 ARP/nmap 发现网络上的每一台设备。指纹识别端口，识别 OS，标记服务（Telnet、SMB、TR-069、UPnP）。每台设备的风险评估。 | | **Router Audit** | 审计你的家庭路由器是否暴露了管理端口、ISP 远程访问 (TR-069)、UPnP 以及脆弱的 DNS 配置。提供可操作的强化建议。 | | **Device Monitor** | 7x24 小时持续威胁监控。检测加入你的网络的新设备、ARP 欺骗攻击以及设备离线。实时警报。 | | **Auto-Harden** | 一键机器强化：无人值守的安全更新、禁用 SSH root 登录、iptables 默认 DROP 策略、禁用核心转储、敏感文件权限锁定。 | | **Deep Audit** | 本地机器安全审计：SUID 二进制文件检查、SSH 配置审查、全局可写文件扫描、失败登录分析、监听服务清单。 | ## shadow-cli — AI 安全助手 ShadowCypher 附带了 `shadow-cli`，这是一个由 AI 驱动的命令行安全助手，可以通过自然语言调用所有 ShadowCypher 工具。 ``` shadow-cli # Interactive mode shadow-cli -p "scan my network" # Discovers all devices on your LAN shadow-cli -p "engage ghost mode" # Activates total invisibility shadow-cli -p "am I anonymous?" # Runs full anonymity audit shadow-cli -p "audit my router" # Checks router for vulnerabilities shadow-cli -p "check my traffic" # Analyzes network traffic patterns ``` 由一个 MCP（模型上下文协议）服务器提供支持，该服务器将 9 种安全工具公开给任何兼容的 AI 助手。 ## 安全架构 ``` Client Server (Sovereign Chat) │ │ │── auth { nick, x25519_pub } ──▶│ │ │── Generate ephemeral X25519 keypair │ │── ECDH: shared_secret = server_priv × client_pub │ │── HKDF-SHA256(shared_secret) → AES-256 session key │◀── auth_ok { x25519_srv_pub }──│ │ │ │── ECDH: shared = cli_priv × srv_pub │── HKDF-SHA256(shared) → same AES-256 key │ │ │══════ AES-256-GCM Encrypted Channel ══════│ ``` - **前向保密**：每次会话使用短暂的 X25519 密钥。一个会话的泄露不会暴露过去或未来的任何会话。 - **静态加密**：所有存储的消息均使用由每个房间独立派生的密钥进行 AES-256-GCM 加密。 - **管理员身份**：带有挑战-响应的 RSA-4096 密钥对验证。硬件指纹绑定将管理员权限锁定到特定机器上。 ## 事件驱动架构 ShadowCypher 的各模块通过 **ShadowBus**——一个线程安全、支持异步的发布/订阅事件主干——进行解耦。这消除了循环导入，并允许任何模块在没有直接依赖关系的情况下对来自任何其他模块的事件做出反应。 ``` # 任何模块都可以 broadcast bus.publish("forensic_update", {"handle": "attacker", "risk": "HIGH"}) # 任何模块都可以 subscribe bus.subscribe("forensic_update", lambda data: firewall.block(data["handle"])) ``` 关键事件通道：`mission_output`、`module_log`、`pulse_anomaly`、`forensic_update`、`security_lockdown`、`new_chat_msg`、`sovereign_chat`、`mission_archived`。 ## 安装说明 ### 前置条件 | 依赖项 | 用途 | 是否必需 | |---|---|---| | Python 3.12+ | 核心运行时 | ✅ | | GTK 3.0 (`python3-gi`, `gir1.2-gtk-3.0`) | 桌面界面 | ✅ | | Go 1.24+ | 原生中继编译 | ✅ | | Ollama | 本地 AI 推理（自动启动） | ✅ | | `cryptography` (Python) | AES-256-GCM, X25519, RSA | ✅ | | `pydantic`, `pydantic-settings` | 配置引擎 | ✅ | | `aiohttp` | WebSocket 聊天 + Nexus API | ✅ | | `psutil` | 系统指标 | ✅ | | nmap, hydra, john, hashcat | 攻击工具 | 可选 | | nuclei, ffuf, aircrack-ng | 扫描与无线 | 可选 | | proxychains4, tor | 匿名化 | 可选 | ### 快速开始 ``` # 克隆 repository git clone https://github.com/jakes1345/ShadowCypher.git cd ShadowCypher # 安装 Python dependencies pip install -r requirements.txt # 启动 python3 -m shadowcypher.app ``` ### 手动启动 ``` # 激活 virtual environment source ai_engine/meta-venv/bin/activate # Primary # 或：source venv/bin/activate # Fallback # 设置 environment export PYTHONPATH="$(pwd):$(pwd)/ai_engine:$PYTHONPATH" export SHADOW_PORT=8888 # 运行 python3 -m shadowcypher.app ``` ### 系统命令（如果全局安装） ``` shadowcypher ``` ## 项目结构 ``` ShadowCypher/ ├── shadowcypher/ # Core Python package │ ├── app.py # GTK application entry point │ ├── core/ # Hub, Config, Bus, Runner, Identity, Security │ │ ├── hub.py # Mission orchestrator + relay bridge │ │ ├── sovereign_chat.py # WebSocket chat (X25519 + AES-256-GCM) │ │ ├── irc_bot.py # ShadowSentinel IRC bot (20+ commands) │ │ └── ... │ ├── ai/ # AI subsystem │ │ ├── engine.py # Ollama + llama-cpp-python dual backend │ │ ├── orchestrator.py # MetaChain autonomous agent │ │ ├── classic_brain.py # Offline ELIZA + Markov conversational AI │ │ ├── sisyphus.py # File integrity sentinel │ │ └── ... │ ├── ui/ # GTK pages (30+ tactical interfaces) │ ├── modules/ # Offensive/defensive tool wrappers (33+) │ ├── native/relay/ # Go WebSocket relay (compiled binary) │ └── compiler/ # ShadowScript lexer + interpreter ├── ai_engine/autoagent/ # MetaChain autonomous agent framework ├── tools/ # Bundled third-party tools ├── scripts/ # Setup and utility scripts ├── config.json # Runtime configuration └── requirements.txt # Python dependencies ``` ## 配置 ShadowCypher 使用基于 Pydantic 的配置引擎，带有三层解析机制： 1. **环境变量** — `SC_AI__MODEL=gemma4` 会覆盖 `config.ai.model` 2. **config.json** — 项目根目录中的持久化配置文件 3. **代码默认值** — 为每个设置提供合理的默认值 主要配置部分： | 部分 | 控制项 | |---|---| | `ai` | 模型名称、API base、temperature、token 限制、GPU 层数 | | `tools` | nmap、hydra、john、hashcat 以及其他 14 种攻击工具的路径 | | `irc` | 服务器、端口、频道、SASL 认证、主权模式、机器人个性 | | `identity` | 操作员代号、管理员列表、主硬件指纹 | | `stealth` | 代理 URL、隐私强制执行、Nexus 中继端点 | ## 法律声明 ShadowCypher 专为**授权的安全测试**、**研究**和**教育**而构建。每个攻击模块都假定操作员已获得测试目标系统的明确书面授权。未经授权对你不拥有或未获准测试的系统使用这些工具是非法且不道德的。 作者对滥用行为不承担任何责任。你是操作员。你要对自己的行为负责。

在全球网络战的静默交火中——代码巨头们划定了冲突的界限，没有任何边界是绝对安全的——ShadowCypher 就是那个决定性的回应。原生性能。主权加密。零妥协。

ShadowCypher v4.0 · 使用 Go、Python、Cairo 和信念构建。

shadowcypher.site · GitHub

标签：AES-256-GCM, AI推理引擎, AI风险缓解, CVE威胁情报, Go语言, GTK界面, LLM评估, Ollama, PE 加载器, Python, X25519, x64dbg, 个人安全平台, 主权安全, 信号中继, 安全运营, 密码管理, 战术套件, 扫描框架, 插件系统, 攻击工具包, 无后门, 无线安全, 无遥测, 日志审计, 本地AI, 程序破解, 端到端加密, 网络安全, 网络安全, 网络安全审计, 自我托管, 逆向工具, 隐私保护, 隐私保护