Saad-V/team_vikings-qehack

# 实时威胁检测与缓解系统 本项目采用微内核隔离和基于优先级的抢占式调度，在嵌入式环境中确定性地识别并缓解微架构攻击。通过用高速的 C 原生引擎替代非确定性且高计算开销的方案，该系统在不牺牲系统稳定性的前提下保证了微秒级的响应时间。 ## 项目核心特性 * **微内核故障隔离：** 安全层在完全独立于标准应用程序的内存空间中运行。即使目标应用程序完全被攻陷，也无法导致防御机制崩溃或被篡改。 * **原生确定性 IPC：** 通过同步 QNX 消息传递技术（如 `MsgSend()`、`MsgReceive()`、`MsgReply()`）路由所有遥测数据和威胁警报，从而消除不安全的共享内存。 * **基于优先级的抢占：** 利用严格的 RTOS 线程管理。缓解引擎以关键优先级（63）运行，允许 QNX 调度器在检测到异常的确切微秒时刻立即暂停受损进程。 * **实时的 `/proc` 遥测：** 通过直接从 QNX 文件系统解析实时的操作系统级指标（CPU 周期、上下文切换），利用 VMware 的硬件抽象层。 ## 系统架构 该系统由三个通过 QNX 微内核进行排他性通信的独立 C 程序组成。 ### 1. 目标应用程序 (`target_app.c`) * **优先级级别：** 10（普通 - `SCHED_RR`） * **角色：** 模拟关键任务型企业应用程序。它持续从 QNX 的 `/proc//as` 文件系统读取其自身的实时操作系统级指标，并通过 IPC 将其流式传输给监控器。 * **攻击向量：** 包含一个原始终端键盘监听器。按下 `A` 会通过运行无限循环来快速消耗 CPU 周期，模拟活跃的漏洞利用特征，从而模拟侧信道攻击。 ### 2. 安全监控器 (`security_monitor.c`) * **优先级级别：** 21（高 - `SCHED_FIFO`） * **角色：** 启发式算法大脑。它在 0% CPU 开销下阻塞，等待 `MsgReceive()`。一旦遥测数据到达，它便会解析数据。如果异常分数超过硬编码阈值，它将向缓解引擎发送一个异步、非阻塞的 **Pulse**（脉冲）。 ### 3. 缓解引擎 (`mitigation_engine.c`) * **优先级级别：** 63（关键最大值 - `SCHED_FIFO`） * **角色：** 系统的最高权威。它在接收到监控器的脉冲之前完全处于休眠状态。收到警报后，QNX 调度器保证该线程 **立即抢占所有较低优先级的任务**，接管 100% 的 CPU 控制权，以确定性方式停止攻击并锁定系统。 ## 📂 仓库结构 ``` ├── target_app.c # Telemetry generator and simulated vulnerable application ├── security_monitor.c # Heuristic threat detection engine ├── mitigation_engine.c # Priority 63 preemption and system lock-down ├── security_ipc.h # Shared definitions, structs, and IPC channel names |-- Demo_video.mp4 └── README.md # Project documentation ```

标签：AMSI绕过, CSV导出, IPC, QNX, QNX Neutrino RTOS, VMware硬件抽象, 优先级抢占, 侧信道攻击, 威胁检测, 安全监控器, 实时操作系统, 实时防护, 客户端加密, 嵌入式安全, 微内核, 微架构攻击, 搜索语句（dork）, 文件系统监控, 消息传递, 确定性调度, 赛博防御, 进程隔离