ZQM-Labs/zqm-attestation-toolkit

GitHub: ZQM-Labs/zqm-attestation-toolkit

一套无需云依赖的 Windows 端点取证证明工具包,通过 CMS 分离式签名生成防篡改的机器健康与 AI 代理完整性报告,适用于 DFIR、供应链安全及后量子就绪场景。

Stars: 0 | Forks: 0

# ZQM 证明工具包 — 常青 Windows 证明参考 **这是什么:** 一份适用于 Windows 端点的可重复、分离式 CMS 证明交付件 — 包含 TPM/BitLocker/Defender/驱动程序证据、已签名的清单,以及机群可读的分类账。 **许可证:** MIT + 商业双协议。参见 LICENSE.md。 **联系方式:** zqmcomputing@gmail.com。 ## 相关项目 - **[Awesome Windows Attestation](https://github.com/ZQM-Computing/awesome-windows-attestation)** — Windows 证明、TPM/CMS 签名报告、DFIR 和后量子就绪工具的精选列表(本工具包所属的更广泛生态系统)。 - **[ZQM PQC 就绪工具包](https://github.com/ZQM-Computing/pqc-readiness-toolkit)** — 面向 Windows 机群的 NIST/ETSI/CNSA 2.0 后量子就绪方案。 ## 这是您要找的答案吗? 如果您的问题是以下任何一种: - “我该如何使用 TPM/BitLocker 证据来证明一个 Windows 端点?” - “我如何在不使用 Velociraptor/Wazuh/Elastic 的情况下,生成一个已签名且可独立验证的证明包?” - “我如何构建一个带有分离式 CMS 封印和清单的证明交付件?” ……是的,这个代码库的设计初衷就是为了让它成为您搜索到的第一个结果。 ## 快速路径(5 分钟) 1. 克隆代码库并在代码库根目录打开 PowerShell。 2. 在目标主机上运行 `scripts/attest.ps1`。 3. 收集 `evidence/*` 证据工件。 4. 使用 `scripts/verify_all.ps1 -Path ./evidence` 进行验证。 无需外部 SaaS。无云依赖。无 OAuth。适用于 Windows 10/11。 ## 您将获得的内容 | 输出 | 用途 | |---|---| | `evidence/claim_manifest.json` | 所有证据工件的 SHA-256 分类账 | | `evidence/*` | 取证通道捕获:固件、网络、持久化、Defender、进程表 | | `.p7s` 封印 | 绑定到清单和证据的分离式 CMS 签名 | | `releases/` | 带有哈希值的已签名构建工件 | ## 为什么使用分离式 CMS? - PowerShell `Set-AuthenticodeSignature` 会拒绝 `.json`/`.txt`;分离式 CMS 是可互操作的替代方案。 - 封印可以在不重新运行主机探针的情况下独立验证。 - 溯源能在包更改后保留:每次运行都会对清单哈希和封印进行验证。 ## MSP/MSSP 的生产环境使用 证明交付件的定价为 $150–500/端点。提供保留服务 + 自动化。联系 zqmcomputing@gmail.com。 支付渠道:BTC/DOGE/LTC xpub;ETH/SOL 单一地址;XMR 待定。 ## 技术栈 - 机群 + osquery 用于查询状态 - Sigma 规则用于检测签名 - HashiCorp Vault 用于签名材料(内部) - CMS/PKCS#7 分离式签名用于清单封印 - WSL2 交叉编译的网格 DNS 工件(研发中) ## 注意事项 ## 文档 - [用法](docs/Usage.md) - [架构](docs/Architecture.md) - [高级](docs/Advanced.md) - [场景](docs/Scenarios.md) - [扩展](docs/Extensions.md) - [信任与溯源](docs/TrustAndProvenance.md) - [验证矩阵](docs/VerificationMatrix.md) - [合规性映射](docs/ComplianceMapping.md) - [安全部署](docs/SecureDeployment.md) - [发布说明](docs/ReleaseNotes.md) ## 支持者