Cyber-Sec-Space/zdefuser

# 🛡 ZDefuser [英语](#english) | [繁体中文](#繁體中文)

英语

**ZDefuser** 是一款为工程师和安全研究人员打造的高度安全的压缩包解压工具。通过将单向 WebAssembly (Wasm) 隔离技术与原生 OS 接口相结合，它能够在“纯物理隔离”的沙箱中分析并提取未知来源的 `.zip`、`.rar`、`.tar` 和 `.tar.gz / .tgz` 文件。这有效阻止了恶意 payload 在解压的瞬间渗透或破坏宿主系统。 ### 为什么选择 ZDefuser？ 传统的 OS 解压工具拥有完全的原生文件权限，为黑客提供了完美的利用时机。ZDefuser 将 payload 投入到一个完全切断网络和原生 OS 调用的 WebAssembly 沙箱中。这种“无菌提取”保证了免受以下 **8 种高级威胁向量** 的攻击： 1. 💣 **解压炸弹与 CPU DoS 拆解**：强制执行严格的资源比例（最高 100 倍膨胀 / 100GB 限制），并集成**动态计算配额** 以拦截海量内存耗尽攻击和无限循环的数学炸弹。 2. 🚫 **路径遍历拦截**：丢弃任何如 `../../etc/passwd` 等企图逃逸沙箱并覆盖系统的危险相对路径。 3. 🔗 **符号链接攻击隔离**：对非法目录引用和符号快捷方式零容忍，保护宿主机私钥和配置文件免受隐蔽的窃取。 4. 🛡 **RCE / 缓冲区溢出免疫**：即使内部解压引擎发生缓冲区溢出，也只会触发 Wasm 线性内存陷阱崩溃。物理上绝对不可能渗透宿主机。 5. 🪟 **Unicode 欺骗 (RTLO) 防护**：清除路径中的恶意从右到左覆盖 (Right-to-Left Override) 序列，确保隐蔽的 `invoice[RTLO]xcod.exe` 文件无法伪装成无害的 `.docx` 文件。 6. 🔒 **剥离可执行权限 (仅限 Unix)**：通过第三层释放门，攻击者隐蔽植入的任何 `+x` 脚本权限都会被强制剥离，将恶意可执行文件降级为无害的文本块。 7. 🗄️ **加密向量中和**：安全处理 AES 加密的 ZIP 和 RAR 文件。即使压缩包带有密码要求并隐藏恶意软件，解密过程和结构验证也严格在隔离区内进行。 8. 🕵️ **网络泄漏防御**：WASI 网络套接字被完全禁用。提取出的间谍软件在物理上就无法 ping 外部的命令与控制服务器或窃取数据。 ### 零信任架构流程 ``` graph TD; A[User Drops Archive] --> B(Tauri Backend: Commands Layer); B --> C{WASI Sandbox Execution}; C -->|Streaming I/O Extraction| D[Decompression Engine]; D --> E{Security Context Verification}; E -->|Zip Bomb / 100GB Bypass| F[Trap: Wasm Crash]; E -->|RTLO / Symlink| F[Trap: Wasm Crash]; E -->|Clean Output| G[Sandbox Output Directory]; F -->|Strict Error Validation| H[Abort & Destroy Env]; G --> I{Layer 2 Integrity Check}; I -->|Fails Global Limits| H; I -->|Success| J[Stage for Release]; ``` ### 技术栈 * **宿主环境**：[Tauri v2](https://v2.tauri.app/) (Rust) * **隔离虚拟机 (沙箱)**：[Wasmtime v29](https://wasmtime.dev/) (`wasm32-wasip1`) * **前端 UI**：React + TypeScript + Vite + Vanilla CSS (深色极简美学) * **进程间通信**：异步 Tokio MPSC Channel ### 📜 企业法律合规性 ZDefuser 的架构专为企业和商业发行而设计。它具有一个集成到构建过程中的自动化第三方许可证编排流水线 (`generate_licenses.py`)。所有 MIT、Apache 和 BSD 依赖项都会被自动审计并注入到应用内的“关于与法律”合规界面中，确保开箱即用、**100% 符合版权和许可要求**。 ### 📥 下载与安装 您可以从 **[GitHub Releases](https://github.com/Cyber-Sec-Space/zdefuser/releases)** 页面获取最新的预编译二进制文件。我们提供跨平台支持： - **Windows**：`.exe` 和 `.msi` 安装程序。 - **Linux**：`.AppImage` (便携版) 和 `.deb` (Debian/Ubuntu) 软件包。 - **macOS**：`.dmg` 安装包。 ### 开发与构建说明 请确保您已安装 Node.js 和 Rust 工具链（包括 `wasm32-wasip1` target）。 ``` # 1. Clone repository git clone https://github.com/Cyber-Sec-Space/zdefuser.git # 2. Install frontend dependencies npm install # 3. Prepare WASM Sandbox environment rustup target add wasm32-wasip1 cd wasm-sandbox cargo build --target wasm32-wasip1 --release cd .. # 4. Kickstart developer mode npm run tauri dev ``` ### 安全渗透测试 内置了逼真的渗透验证 payload。 您可以运行脚本 `python3 tests/generate_payloads.py` 来生成真实的恶意压缩包，包括解压炸弹、路径遍历和可执行文件劫持，并通过 UI 界面直观见证防御机制的运行过程。 **由 Snyk 🐶 安全审计 - 未检测到漏洞。**

繁体中文

**ZDefuser** 是一款为工程师与安全研究员打造的极致安全解压缩工具。通过结合 WebAssembly (Wasm) 单向隔离技术与原生 OS 接口，它能在“纯物理隔离”的虚拟沙箱内解析未知来源的 `.zip`、`.rar`、`.tar` 甚至 `.tar.gz / .tgz` 文件，有效阻断恶意程序在解压瞬间造成的系统渗透与破坏。 ### 为什么需要 ZDefuser？ 传统的 OS 解压工具具备过高的原生文件权限，这让黑客有机可乘。ZDefuser 将文件丢进无实体网络、无 OS 调用权限的 WebAssembly 沙箱中进行“无菌抽取”，彻底免疫以下**八大进阶解压威胁向量**： 1. 💣 **解压炸弹与 CPU 劫持防杀**：双管齐下。采用硬性资源比例上限 (最高 100 倍膨胀) 防御内存溢出，并搭配**动态计算配额制** 依文件大小发放精准的 Wasmtime 计算燃料指令配额，在几秒内自动绞杀无限循环型逻辑炸弹。 2. 🚫 **路径遍历**：拦截所有如 `../../etc/passwd` 等企图逃逸沙箱覆盖系统文件的危险路径。 3. 🔗 **符号链接 隔离**：对非法目录引用与符号快捷方式做到零容忍丢弃，防护宿主机私钥与配置文件遭到无痕窃取。 4. 🛡 **远程代码执行 (RCE/Buffer Overflow) 免疫**：就算底层解压库发生缓冲区溢出，也只会导致 Wasm 线性内存陷阱崩溃，物理上绝对无法渗透宿主机。 5. 🪟 **Unicode 视觉欺骗 (RTLO) 防护**：过滤掉在文件名中安插的 U+202E 逆向反转字符，让伪装成 `.docx` 的恶意可执行文件原形毕露并被强行抛弃。 6. 🔒 **剥离可执行权限 (Executable Bit Stripping - 限 Unix 系统)**：经过第三层释放网关，黑客植入的隐蔽 `+x` 可执行权限会被强制剥离，将脚本文件降级为无害纯文本。 7. 🗄️ **加密向量中和**：完美安全地处理附加密码的 AES ZIP 与 RAR。即使解压过程包含恶意 payload 或伪造的校验码，所有的解密计算与算法审核皆被强制关押在无菌隔离区内进行。 8. 🕵️ **网络泄漏阻断**：彻底阉割 WASI 的网络通信协议，从根源确保被解压出来的间谍软件绝对无法连回外部的命令与控制 (C2) 服务器发送数据。 ### 零信任沙箱隔离架构 ``` graph TD; A[使用者拖曳壓縮包] --> B(Tauri 後端：指令層); B --> C{WASI 沙箱執行環境}; C -->|記憶體解壓縮| D[解壓引擎]; D --> E{安全上下文審核}; E -->|發現 Zip 炸彈| F[觸發 Wasm 崩潰陷阱]; E -->|發現 RTLO/目錄穿越| F[觸發 Wasm 崩潰陷阱]; E -->|檢查通過| G[沙箱虛擬輸出區]; F -->|嚴格錯誤結算| H[強行中斷並銷毀環境]; G --> I{Layer 2 總體積稽核}; I -->|超過 100GB 上限| H; I -->|合規| J[轉入待命區等待釋放]; ``` ### 核心技术栈 * **宿主架构**：[Tauri v2](https://v2.tauri.app/) (Rust) * **隔离虚拟机 (沙箱)**：[Wasmtime v29](https://wasmtime.dev/) (`wasm32-wasip1`) * **用户界面 (前端)**：React + TypeScript + Vite + Vanilla CSS (极黑几何美学) * **通信层**：异步 Tokio 管道 ### 📜 企业级合规性 ZDefuser 专为企业采购与商业软件市场打造。项目内置了全自动化的第三方开源条款稽核系统 (`generate_licenses.py`)，能在编译打包阶段自动统整所有 Rust/NPM 相依赖的包，并将其注入至应用程序内的“About & Legal”窗口中，**100% 满足 MIT / Apache / BSD 的最终开源分发合规要求**。 ### 📥 下载与安装 您可以直接前往项目的 **[GitHub Releases](https://github.com/Cyber-Sec-Space/zdefuser/releases)** 页面下载最新编译完成的跨平台安装包： - **Windows**：提供 `.exe` 替代文件与 `.msi` 安装文件。 - **Linux**：提供 `.AppImage` (免安装可执行文件) 与 `.deb` (Debian/Ubuntu)。 - **macOS**：提供 `.dmg` 镜像安装文件。 ### 如何安装与构建 首先请确保您已安装了 Node.js 与 Rust 工具链（含 `wasm32-wasip1` target）。 ``` # 1. 複製專案 git clone https://github.com/Cyber-Sec-Space/zdefuser.git # 2. 安裝前端依賴 npm install # 3. 準備 WASM 沙箱環境 rustup target add wasm32-wasip1 cd wasm-sandbox cargo build --target wasm32-wasip1 --release cd .. # 4. 啟動開發者模式 npm run tauri dev ``` ### 测试驱动 内置真实黑客测试包： 您可以通过运行测试脚本 `python3 tests/generate_payloads.py`，生成包含 Zip Bomb、Path Traversal 与可执行权限劫持的真实恶意压缩包，并通过界面亲自见证拦截防御机制。 **由 Snyk 🐶 安全审计 - 未检测到漏洞。**

标签：AI工具, DAST, DNS 解析, DoS防护, Go语言工具, RAR, RCE防护, TAR, Unicode欺骗防护, Wasmtime, WebAssembly, ZIP, Zip Bomb, 压缩包处理, 可视化界面, 威胁情报, 子域名枚举, 开发者工具, 恶意代码分析, 恶意软件分析, 文件安全, 文件格式安全, 沙箱隔离, 符号链接攻击, 系统安全, 缓冲区溢出防护, 网络安全, 解压工具, 路径遍历防护, 逆向工具, 通知系统, 配置文件, 配置错误, 防病毒, 隐私保护, 零信任安全