MyAngelWhiteCat/MalwareVaccine

# **Windows 系统 EDR 与 AV 测试工具** 这是一套模拟恶意软件行为但不危害系统的技术集合。 每一项技术都是一个“减毒株”：它看起来像攻击，但不实施破坏性逻辑。 **目标：** - 帮助开发人员和分析人员在受控环境中评估安全防护软件的检测质量。 - 为初级恶意软件分析人员提供一个安全的工具，用于静态/动态研究恶意软件技术。 ## 当前任务： - 对人工创建的目录实现真实的 ChaCha20 算法加密 ## GUI - 为了便于使用，已实现 C# .Net GUI ## 已实现的技术 ### 权限提升器 演示进程权限提升。 使用未公开的 Native API 函数： - `RtlAdjustPrivilege` — 根据选择启用 `SE_TCB_PRIVILEGE` 或 `SE_DEBUG_PRIVILEGE` 权限 **EDR/AV 应检测到的内容：** - 调用 ntdll.dll 的未公开函数 - 尝试启用最高级别的权限 ### BSOD 触发器 演示权限提升并随后引发致命系统错误。 使用未公开的 Native API 函数： - `RtlAdjustPrivilege` — 启用 `SE_SHUTDOWN_PRIVILEGE` 权限 - `NtRaiseHardError` — 触发致命错误 **EDR/AV 应检测到的内容：** - 调用 ntdll.dll 的未公开函数 - 尝试启用关闭系统所需的权限 - 异常的系统调用序列 ### 勒索软件模拟器（测试中） 演示勒索软件在文件加密阶段的行为。 两种行为模式： - 遍历文件系统并以写入模式打开所有文件（不修改内容） - 创建自己的目录树和临时文件并进行实际加密 **EDR/AV 应检测到的内容：** - 大量以写入权限打开文件的操作 ### 系统锁定器（开发中） 演示勒索软件在系统访问锁定阶段的行为 - 限制输入设备的功能 - 操作注册表和自启动项 ### ... ... ## 构建 所需工具： - CMake - conan ``` git clone https://github.com/MyAngelWhiteCat/MalwareVaccine.git cd MalwareVaccine mkdir build && cd build conan install .. --build=missing -s compiler.runtime=static -s build_type=Release --output-folder=. cmake .. -DCMAKE_BUILD_TYPE=Release cmake --build . ``` ## 运行 应用程序的使用逻辑实现尚在开发中。 您可以使用 Application 类创建自己的 GUI，该类实现了与工具交互的外观接口。 ## 预期检测图景 `MalwareVaccine` 中的技术应通过行为分析和特征签名两种方法被检测到。 检测器实现示例：[ProcessesLaboratory](https://github.com/MyAngelWhiteCat/ProcessesLaboratory)。 本工具仅用于合法测试。

标签：Bash脚本, ChaCha20加密, C# .NET, Conpot, EDR测试工具, Native API, ntdll.dll, Web报告查看器, Windows安全, 云安全监控, 协议分析, 反取证, 安全AI, 安全评估, 恶意软件模拟, 权限提升, 漏洞利用模拟, 私有化部署, 网络安全, 蓝屏死机模拟, 防御规避, 隐私保护, 静态分析