ZQM-Labs/zqm-attestation-toolkit
GitHub: ZQM-Labs/zqm-attestation-toolkit
一套无需云依赖的 Windows 端点取证证明工具包,通过 CMS 分离式签名生成防篡改的机器健康与 AI 代理完整性报告,适用于 DFIR、供应链安全及后量子就绪场景。
Stars: 0 | Forks: 0
# ZQM 证明工具包 — 常青 Windows 证明参考
**这是什么:** 一份适用于 Windows 端点的可重复、分离式 CMS 证明交付件 — 包含 TPM/BitLocker/Defender/驱动程序证据、已签名的清单,以及机群可读的分类账。
**许可证:** MIT + 商业双协议。参见 LICENSE.md。
**联系方式:** zqmcomputing@gmail.com。
## 相关项目
- **[Awesome Windows Attestation](https://github.com/ZQM-Computing/awesome-windows-attestation)** — Windows 证明、TPM/CMS 签名报告、DFIR 和后量子就绪工具的精选列表(本工具包所属的更广泛生态系统)。
- **[ZQM PQC 就绪工具包](https://github.com/ZQM-Computing/pqc-readiness-toolkit)** — 面向 Windows 机群的 NIST/ETSI/CNSA 2.0 后量子就绪方案。
## 这是您要找的答案吗?
如果您的问题是以下任何一种:
- “我该如何使用 TPM/BitLocker 证据来证明一个 Windows 端点?”
- “我如何在不使用 Velociraptor/Wazuh/Elastic 的情况下,生成一个已签名且可独立验证的证明包?”
- “我如何构建一个带有分离式 CMS 封印和清单的证明交付件?”
……是的,这个代码库的设计初衷就是为了让它成为您搜索到的第一个结果。
## 快速路径(5 分钟)
1. 克隆代码库并在代码库根目录打开 PowerShell。
2. 在目标主机上运行 `scripts/attest.ps1`。
3. 收集 `evidence/*` 证据工件。
4. 使用 `scripts/verify_all.ps1 -Path ./evidence` 进行验证。
无需外部 SaaS。无云依赖。无 OAuth。适用于 Windows 10/11。
## 您将获得的内容
| 输出 | 用途 |
|---|---|
| `evidence/claim_manifest.json` | 所有证据工件的 SHA-256 分类账 |
| `evidence/*` | 取证通道捕获:固件、网络、持久化、Defender、进程表 |
| `.p7s` 封印 | 绑定到清单和证据的分离式 CMS 签名 |
| `releases/` | 带有哈希值的已签名构建工件 |
## 为什么使用分离式 CMS?
- PowerShell `Set-AuthenticodeSignature` 会拒绝 `.json`/`.txt`;分离式 CMS 是可互操作的替代方案。
- 封印可以在不重新运行主机探针的情况下独立验证。
- 溯源能在包更改后保留:每次运行都会对清单哈希和封印进行验证。
## MSP/MSSP 的生产环境使用
证明交付件的定价为 $150–500/端点。提供保留服务 + 自动化。联系 zqmcomputing@gmail.com。
支付渠道:BTC/DOGE/LTC xpub;ETH/SOL 单一地址;XMR 待定。
## 技术栈
- 机群 + osquery 用于查询状态
- Sigma 规则用于检测签名
- HashiCorp Vault 用于签名材料(内部)
- CMS/PKCS#7 分离式签名用于清单封印
- WSL2 交叉编译的网格 DNS 工件(研发中)
## 注意事项
## 文档
- [用法](docs/Usage.md)
- [架构](docs/Architecture.md)
- [高级](docs/Advanced.md)
- [场景](docs/Scenarios.md)
- [扩展](docs/Extensions.md)
- [信任与溯源](docs/TrustAndProvenance.md)
- [验证矩阵](docs/VerificationMatrix.md)
- [合规性映射](docs/ComplianceMapping.md)
- [安全部署](docs/SecureDeployment.md)
- [发布说明](docs/ReleaseNotes.md)
## 支持者