buter-chkalova/RvbbitSafe

# RvbbitSafe：Windows 平台的六重堡垒反勒索软件架构——黑客的噩梦    ## 🛡️ 概述 RvbbitSafe 是一个研究原型，展示了勒索软件防御领域的范式转变。它是一个主动的、多层次的堡垒，结合了硬件虚拟化、AI 驱动的欺骗、低级数据恢复、去中心化威胁情报以及 **神经符号 AI 引擎**，使成功的勒索软件攻击在经济和技术上都变得不可行。 该项目是将前沿学术研究整合为单一实用框架的成果，旨在成为“黑客最可怕的噩梦”，并为下一代网络安全奠定蓝图。 ## ✨ 六重创新堡垒 | 要塞 | 核心创新 | 技术实现 | |---|---|---| | **1. 预执行要塞** | **基于 Hypervisor 的进程隔离** | 一个轻量级 Hypervisor（`src/hypervisor/`）拦截进程创建和驱动加载，在操作系统内核执行之前验证签名并阻止 BYOVD 攻击。 | | **2. 运行时欺骗要塞** | **LLM 驱动的动态欺骗网格** | 一个本地 DeBERTa 模型（`src/user/llm_deception_engine/`）生成逼真的蜜文件。一个 eBPF 驱动（`src/kernel/rvbbit_ebpf_driver.c`）将勒索软件的 I/O 重定向到这些陷阱。 | | **3. 事后恢复要塞** | **SSD 语义恢复（SrFTL）** | 一个内核驱动（`src/kernel/rvbbit_ssd_recovery.c`）绕过文件系统，直接查询 SSD 的 FTL，从未擦除的物理块中即时恢复“已删除”文件。 | | **4. 威胁情报网格** | **区块链联邦学习（BFL）** | RvbbitSafe 节点参与一个去中心化网络（`src/user/blockchain_comm/`），在不上传私有数据的情况下协同训练威胁检测模型。 | | **5. 反篡改要塞** | **硬件强制执行的安全（VBS 隔离区）** | 核心逻辑运行在 Windows VBS 隔离区（`src/user/service/`）中，受 Intel CET/AMD 影子堆栈保护。即使操作系统内核被攻破也无法攻击。 | | **6. 主动神经符号分析** | **可解释且可预测的 AI 防御** | 该要塞结合了神经异常检测器与符号规则引擎（`src/user/neuro_symbolic_engine/`）。它可以检测零日威胁并**解释其推理过程**，这对安全分析师而言是一项关键功能。 | ## 🚀 构建与部署（研究环境） **前置条件：** - **操作系统：** Windows 11 版本 26100.2314+（启用 VBS/HVCI）。 - **CPU：** Intel 第 11 代及以上（支持 CET）/ AMD Zen 3+（支持影子堆栈）。 - **软件：** Visual Studio 2022、Windows 驱动工具包（WDK）、eBPF-for-Windows SDK、ONNX Runtime。 **构建：** 在 VS 2022 的开发者命令提示符下运行 `scripts/build_all.bat`。 **部署：** 以管理员身份运行 `scripts/deploy_full.ps1`。 ## 🧪 Alpha 测试 我们欢迎社区参与测试！请参阅 [TESTING.md](TESTING.md) 了解如何安全地评估 RvbbitSafe。 ## 📚 完整技术白皮书 如需深入了解架构，请查阅 [技术白皮书](docs/technical_whitepaper.md)。 ## 📄 许可证 本项目采用 MIT 许可证授权——详情参见 [LICENSE](LICENSE) 文件。 *免责声明：本项目仅供教育和研究用途。

标签：AI欺骗, Conpot, Docker镜像, FTRL, Hypervisor, LLM, SSD恢复, Unmanaged PE, Windows安全, 下一代防御, 内核驱动, 区块链联邦学习, 去中心化威胁情报, 反勒索软件, 多层次防护, 技术栈, 数据恢复, 深度学习, 硬件强制执行安全, 硬件虚拟化, 神经符号AI, 端点防护, 网络协议, 蜜文, 蜜罐, 证书利用, 防御架构, 黑客噩梦