zhihuiyuze/OpenHuizeBox

GitHub: zhihuiyuze/OpenHuizeBox

基于 VirtualBox OSE 的开源反检测沙箱,通过可配置的硬件身份开关帮助研究人员规避分析环境的指纹识别,用于恶意软件分析与隐私合规审计。

Stars: 6 | Forks: 1

# OpenHuizeBox [![License](https://img.shields.io/badge/License-GPL%20v3-blue.svg)](./LICENSE) [![Scope](https://img.shields.io/badge/Scope-Privacy%20Audit%20Research-green)](./ACCEPTABLE_USE.md) [![Status](https://img.shields.io/badge/Status-Alpha-orange)](./docs/ROADMAP.md) [![Site](https://img.shields.io/badge/Site-openbox.huize.org-0a7a0a)](https://openbox.huize.org/) ## OpenHuizeBox 是什么 它是 Oracle VirtualBox OSE 的一个 fork,附带公开的补丁集,专注于一个单一连贯的用例:*对分析宿主机的软件进行隐私审计研究*。 商业软件和恶意软件通常会读取宿主机识别信号 —— DMI / ACPI / 磁盘序列号 / MAC OUI / CPUID —— 以判断它们是否正在被分析,并据此抑制自身行为。OpenHuizeBox 将这些信号中的每一个都变成了一个**可见的、针对每个 VM 的设置开关**,这样研究人员就可以: - 将一个命名的硬件身份配置文件(Dell OptiPlex、Lenovo ThinkPad、通用 OEM 工作站,或自定义配置)应用到 VM。 - 观察软件在应用该配置文件前后读取了哪些信号。 - 通过脚本化的 pktmon 会话和本地根 TLS CA 捕获出站流量和 TLS 握手。 - 以可复现的方式记录分析决策。 OpenHuizeBox [**绝不是**盗版或绕过授权的工具](./ACCEPTABLE_USE.md)。 ## 架构一览 ``` ┌──────────────────────────────────────────────────────────────────────┐ │ zhihuiyuze/OpenHuizeBox (this repo) │ │ • modules/ hardware-identity profiles (JSON) │ │ • build/ Windows PowerShell build + installer + signing scripts │ │ • installer/ Inno Setup .iss → single signed .exe │ │ • tests/ end-to-end smoke suite (53-check APT-scanner matrix) │ │ • docs/ architecture, governance, threat model, coverage │ │ • vbox-upstream/ git submodule, pinned to our fork │ └──────────────────────────────────┬───────────────────────────────────┘ │ pins ▼ ┌──────────────────────────────────────────────────────────────────────┐ │ zhihuiyuze/OpenHuizeBox-VBox (submodule, branch ohb-7.2) │ │ VirtualBox 7.2 OSE + disclosed patch set: │ │ – Settings-tab integration (Motherboard / Processor / Display / │ │ Storage / Network) │ │ – OpenHuizeBox menu + Create Audit VM dialog │ │ – Branding rewrite (no Oracle strings in Windows file properties) │ │ – Kernel driver signing unchanged from OSE │ └──────────────────────────────────────────────────────────────────────┘ ``` 这个 fork 刻意保持浅层化:没有修改 VMM,没有 RDTSC/SIDT/SGDT 规避,也没有 MSR 掩码。有关无法触及的内容列表,请参见 [docs/DETECTOR_COVERAGE.md](./docs/DETECTOR_COVERAGE.md);有关完整设计,请参见 [docs/ARCHITECTURE.md](./docs/ARCHITECTURE.md)。 ## 安装 (Windows x64) 从最新版本中下载已签名的 Inno Setup 安装包: - [github.com/zhihuiyuze/OpenHuizeBox/releases](https://github.com/zhihuiyuze/OpenHuizeBox/releases) 运行 `.exe`,重启一次(Windows test-signing 模式所必需),运行 `build\post_reboot_driver_check.ps1` 以确认已签名的内核驱动已加载,然后打开 OpenHuizeBox。完整操作指南请参见:[docs/QUICKSTART.md](./docs/QUICKSTART.md)。 ## 从源码构建 ``` # 使用 vbox-upstream submodule 克隆 git clone --recursive https://github.com/zhihuiyuze/OpenHuizeBox.git cd OpenHuizeBox # 安装 toolchain (MSVC 2022, kBuild, Qt 6.8, WDK, vcpkg) powershell -File .\build\install_build_toolchain.ps1 # 构建 + 生成 installer powershell -File .\build\local_build.ps1 # 可选:对 driver 进行签名 + 注册 kernel service powershell -File .\build\install_ohb_driver.ps1 -EnableTestSigning # (然后重启:) powershell -File .\build\post_reboot_driver_check.ps1 ``` 在参考宿主机(Windows 11 Pro,32 GB RAM,NVMe)上进行干净的初始构建大约需要 45 分钟。有关补丁集和 rebase 工作流,请参见 [PATCHES.md](./PATCHES.md)。 ## 项目范围 OpenHuizeBox **适用于**: - 针对商业/移动软件的隐私审计研究 - 在获得合法授权的前提下进行恶意软件分析 - 教授端点配置攻击面 - 合规性复现工作(GDPR / PIPL / CCPA) OpenHuizeBox **不适用于**: - 绕过软件授权、DRM 或激活控制 - 规避银行/支付/赌博的反欺诈控制 - 批量生成虚假身份以滥用速率限制/试用/评论 - 逃避广告欺诈检测 请参见 [ACCEPTABLE_USE.md](./ACCEPTABLE_USE.md) 和 [GOVERNANCE.md](./GOVERNANCE.md)。 ## 文档 | 文档 | 用途 | |---|---| | [QUICKSTART.md](./docs/QUICKSTART.md) · [zh](./docs/QUICKSTART.zh.md) | 10 分钟首次运行 | | [ARCHITECTURE.md](./docs/ARCHITECTURE.md) | 系统设计、分层分类 | | [MODULES.md](./docs/MODULES.md) | 各模块矩阵 | | [DETECTOR_COVERAGE.md](./docs/DETECTOR_COVERAGE.md) | 各扫描器覆盖范围及无法触及列表 | | [THREAT_MODEL.md](./docs/THREAT_MODEL.md) | 我们防御的威胁 | | [PATCHES.md](./PATCHES.md) | 补丁集与 rebase 工作流 | | [UPSTREAM_TRACKING.md](./UPSTREAM_TRACKING.md) | 上游 VBox 固定版本 | | [TESTING.md](./TESTING.md) | 已验证与暂缓的测试项 | | [ROADMAP.md](./docs/ROADMAP.md) | 版本规划 | | [CHANGELOG.md](./CHANGELOG.md) · [zh](./CHANGELOG.zh.md) | 版本历史 | ## 许可证 双重许可: | 组件 | 许可证 | 原因 | |---|---|---| | VBox 衍生代码(在 `vbox-upstream` submodule 中,以及任何构建产物) | **GPL v3** ([LICENSE](./LICENSE)) | Oracle VirtualBox OSE 基于 GPL v3;衍生作品同样继承 | | 独立工具包(`modules/`、`build/`、`installer/`、`tests/`、`docs/`) | **Apache License 2.0** ([LICENSE-APACHE-2.0](./LICENSE-APACHE-2.0)) | 独立代码 | 如有疑问,默认视为 GPL v3。 **商标**:"VirtualBox" 和 "Oracle" 是 Oracle Corporation 的商标。OpenHuizeBox 与 Oracle 没有任何关联,也未获得其认可。 请参见 [TRADEMARKS.md](./TRADEMARKS.md) 和 [NOTICE](./NOTICE)。 **Extension Pack**:Oracle 基于 PUEL 许可的 VirtualBox Extension Pack **绝不捆绑**。如果你需要其功能,请自行从 Oracle 安装。 ## 致谢 - Oracle VirtualBox OSE —— 项目的基础 (GPL v3) - 沙箱检测研究社区 —— Pafish、Al-Khaser、VMAware、InviZzzible —— 我们进行基准测试所用的检测工具 - 所有发表了关于我们所防御的分析技术的早期分析文章的人
标签:AI合规, DAST, Homebrew安装, Libemu, UML, 反检测沙箱, 恶意软件分析, 流量捕获, 网络拓扑, 虚拟化, 虚拟机伪装, 隐私合规审计