derekxmartin/AkesoAV

# AkesoAV 一个基于 C/C++ 构建的 Windows x64 概念验证反病毒扫描引擎。AkesoAV 提供了静态和基于签名的检测层，以补充 [AkesoEDR](https://github.com/derekxmartin/AkesoEDR) 的行为检测能力。 ## 架构 AkesoAV 实现了多层扫描流水线： - **文件类型检测** — 魔数识别（PE, ELF, ZIP, GZIP, PDF, OLE2） - **签名引擎** — Bloom filter、加密哈希（MD5/SHA-256）、CRC32、Aho-Corasick 字节流、模糊哈希、基于图、YARA - **启发式引擎** — 静态 PE 分析（头部、熵、导入表、字符串、ML 分类器）+ 来自 x86 模拟器 API 调用日志的动态评分 - **压缩包处理** — ZIP/GZIP/TAR 格式支持，并具备解压缩炸弹保护 - **脱壳引擎** — UPX 静态脱壳 + x86 模拟器辅助的通用脱壳 - **隔离区** — AES-256-GCM 加密保险库，使用 SQLite 索引 ## 构建 需要安装带有 MSVC C/C++ 工具集的 Visual Studio 2022。 ``` cmake -G "Visual Studio 17 2022" -A x64 -B build cmake --build build --config Release ``` ### 运行测试 ``` cd build ctest -C Release --output-on-failure ``` ### 快速测试 ``` .\build\Release\akavscan.exe --eicar-test .\build\Release\akavscan.exe testdata\eicar.com.txt ``` ## 与 AkesoEDR 集成 在集成模式下，AkesoEDR 代理通过 `LoadLibrary` 加载 `akesoav.dll` 并调用 C API 函数。引擎在进程内运行，共享 EDR 的 minifilter 以进行实时访问扫描。 ## 许可证 仅供研究和作品集展示使用。不适用于生产环境部署。

标签：Aho-Corasick算法, Bash脚本, C/C++, Conpot, EDR, PE分析, TLS抓取, UML, UPX解压, Windows安全, x86模拟器, YARA, 事务性I/O, 云安全监控, 云资产可视化, 勒索软件防护, 启发式扫描, 威胁情报, 安全意识培训, 实时扫描, 客户端加密, 布隆过滤器, 开发者工具, 开源安全工具, 恶意代码分析, 数据展示, 文件过滤驱动, 机器学习分类器, 模糊哈希, 端点防护, 红队, 网络安全, 脆弱性评估, 脱壳引擎, 软件安全, 逆向工程平台, 配置文件, 防病毒引擎, 隐私保护, 静态分析