teohumble1/avsuite

GitHub: teohumble1/avsuite

一个展示 Windows 内核模式威胁检测与行为分析的安全研究套件,集成了 minifilter 驱动、YARA 引擎、ETW 监控和本地 AI 分析。

Stars: 1 | Forks: 0

TeoAvSuite — Windows kernel security research suite ### Windows 内核安全研究套件 **内核模式威胁检测 · YARA 引擎 · 行为分析 · 本地 AI 分析师** *Windows 内核安全研究套件 — 内核模式威胁检测、YARA、行为分析、本地 AI 助手* ![Platform](https://img.shields.io/badge/platform-Windows%2010%20%7C%2011%20x64-0078D6?logo=windows&logoColor=white) ![Release](https://img.shields.io/badge/release-v1.0.2-FF7A00) ![UI](https://img.shields.io/badge/UI-Qt6%20·%20Figma%20design%20system-41CD52?logo=qt&logoColor=white) ![Engine](https://img.shields.io/badge/engine-YARA%20%2B%20ETW%20%2B%20minifilter-FF9B3D) ![AI](https://img.shields.io/badge/AI-Qwen2.5%20GGUF%20·%20llama.cpp%20runtime%20·%20100%25%20offline-8B5CF6) ![Status](https://img.shields.io/badge/status-research%20project-8B7355)
[![下载 TeoAvSuite](https://img.shields.io/badge/⬇%20%20DOWNLOAD%20TeoAvSuite--Setup--v1.0.2.exe%20%20(26.85%20MB)-FF7A00?style=for-the-badge&logo=windows&logoColor=white)](https://github.com/teohumble1/avsuite/releases/download/v1.0.2/TeoAvSuite-Setup-v1.0.2.exe) **一键直接下载 — Windows 10/11 x64 · 直接下载,无需注册**
[**✨ 功能**](#features--tính-năng) · [**🚀 安装**](#installation--cài-đặt) · [**🖼️ 截图**](#screenshots--ảnh-chụp-màn-hình) · [**📦 所有发布版本**](https://github.com/teohumble1/avsuite/releases) · [**⚠️ 限制**](#important-limitations--những-hạn-chế-quan-trọng)
这是一个展示 Windows 内核模式威胁检测和行为分析的安全研究作品集项目。**不适用于生产环境。** 这是一个展示 Windows 内核模式威胁检测和行为分析的安全研究作品集项目。**不适用于生产环境。** ## 这是什么 这是一个实现了以下功能的**教育/研究项目**: - 内核 minifilter 驱动程序(WDM 架构) - 基于行为的威胁检测模式 - 实时文件系统监控 - 自签名代码签名基础设施 **这不是生产级的防病毒软件。** 它展示了系统编程和安全架构方面的知识。 这是一个实现了以下功能的**教育/研究项目**: - 内核 minifilter 驱动程序(WDM 架构) - 基于行为的威胁检测模式 - 实时文件系统监控 - 自签名代码签名基础设施 **这不是生产级的防病毒软件。** 它展示了系统编程和安全架构方面的知识。 ## 功能 ### 核心安全 - ✅ **实时威胁检测** - 内核模式文件监控,即时报警 - ✅ **YARA 规则引擎** - 可配置的恶意软件模式匹配 - ✅ **隔离管理** - 隔离可疑文件,提供恢复/删除选项 - ✅ **行为分析** - 跟踪进程/注册表/文件操作 - ✅ **事件日志** - 使用 SQLite 数据库记录威胁审计轨迹 ### 仪表盘 UI - ✅ **实时监控** - 实时威胁检测仪表盘 - ✅ **隔离面板** - 查看隔离文件,支持多选操作 - ✅ **系统事件** - 完整的事件日志,支持搜索/过滤 - ✅ **威胁情报** - 显示检测到的威胁模式 - ✅ **Figma 设计系统** - 基于共享设计 token 的琥珀暗色主题;28 个页面,分区的侧边栏(保护 / 监控 / 高级) ### 核心安全 - ✅ **实时威胁检测** - 内核模式文件监控,即时报警 - ✅ **YARA 规则引擎** - 可配置的恶意软件模式匹配 - ✅ **隔离管理** - 隔离可疑文件,提供恢复/删除选项 - ✅ **行为分析** - 跟踪进程/注册表/文件操作 - ✅ **事件日志** - 使用 SQLite 数据库记录威胁审计轨迹 ### 仪表盘 UI - ✅ **实时监控** - 实时威胁检测仪表盘 - ✅ **隔离面板** - 查看隔离文件,支持多选操作 - ✅ **系统事件** - 完整的事件日志,支持搜索/过滤 - ✅ **威胁情报** - 显示检测到的威胁模式 - ✅ **Figma 设计系统** - 基于共享设计 token 的琥珀暗色主题;28 个页面,分区的侧边栏(保护 / 监控 / 高级) ## 截图 | 仪表盘(主页) | ETW 进程监控器(实时) | |---|---| | | | *在运行的系统中捕获的真实数据 — 琥珀色设计系统以 1:1 从 Figma 重设计中移植。* *在运行的系统中捕获的真实数据 — 琥珀色设计系统以 1:1 从 Figma 重设计中移植。* ## 安装说明 **兼容 Windows 10 和 Windows 11 (x64)** | **兼容 Windows 10 和 Windows 11 (x64)** ### 选项 1:安装程序 .exe(推荐) **一键专业安装程序 - 就像任何普通应用一样** **直接链接 | 直接链接:** https://github.com/teohumble1/avsuite/releases/download/v1.0.2/TeoAvSuite-Setup-v1.0.2.exe 下载并运行: ``` # 访问: https://github.com/teohumble1/avsuite/releases # 下载: TeoAvSuite-Setup-v1.0.2.exe # 双击运行安装程序 # 按照安装向导操作(Next → Next → Install) # 从 Start Menu 或 Desktop 快捷方式启动 ``` **一键专业安装程序 - 就像任何普通应用一样** ``` # 访问: https://github.com/teohumble1/avsuite/releases # 下载: TeoAvSuite-Setup-v1.0.2.exe # Double-click 以运行安装程序 # 按照向导操作(Next → Next → Install) # 从 Start Menu 或 Desktop 快捷方式打开 ``` **安装程序功能 | 安装程序功能:** - ✅ 自动安装到 Program Files - ✅ 开始菜单 + 桌面快捷方式 - ✅ 可选的开机自启 - ✅ 通过控制面板彻底卸载 - ✅ 兼容 Windows 10 和 11 - ✅ 打包所有依赖项(Qt6、AI 库、YARA 规则) ### 选项 2:便携版 ZIP **无需安装 - 解压并运行** ``` # 下载: TeoAvSuite-v1.0.1-Portable.zip # 解压 ZIP 文件 # 右键点击 setup.bat → Run as Administrator ``` **包含内容:** - ✅ 仪表盘 UI + 控制台宿主 + 更新服务器 - ✅ 配置 + 设置脚本 + 文档 ### 选项 3:从源码构建 **要求 | 要求:** - Visual Studio 2022(带有 C++ 工作负载) - CMake 3.16+ - Windows 11 SDK **构建步骤 | 构建步骤:** ``` # Clone 仓库 git clone https://github.com/teohumble1/avsuite.git cd avsuite # 创建 build 目录 mkdir build cd build # 生成 build 文件 cmake -G "Visual Studio 17 2022" -A x64 -DCMAKE_BUILD_TYPE=Release .. # Build 项目 cmake --build . --config Release # 输出: build\release\src\dashboard_ui\Release\avdashboard.exe ``` ## 技术实现 ### 内核驱动程序 - **语言**:C - **架构**:WDM minifilter - **大小**:16.6 KB(已优化) - **状态**:功能正常,已在 Windows 11 VMware 上测试 - **签名**:自签名证书 (SHA256) - **语言**:C - **架构**:WDM minifilter - **大小**:16.6 KB(已优化) - **状态**:功能正常,已在 Windows 11 VMware 上测试 - **签名**:自签名证书 (SHA256) ### 行为引擎 - 可配置的模式检测 - 文件/注册表/进程监控 - 事件记录到 SQLite 数据库 - 实时决策制定 - 可配置的模式检测 - 文件/注册表/进程监控 - 事件记录到 SQLite 数据库 - 实时决策制定 ### 测试与误报率 ⚠️ **关键的诚实部分:** **已执行的测试(在隔离的 VM 上):** - ✅ EICAR 标准测试文件 - 已检测 - ✅ PE 注入技术 (PEJINJECTION_IMPORT_COMBO) - 已检测 - ✅ 高级规避模式(导入挂钩、API 垫片)- 已检测 - ✅ 现实中的可疑可执行文件(malware_test 样本)- 部分已检测 - ✅ 系统稳定性 - 未观察到崩溃 **误报率:未知(可能很高)** - ❌ 这是研究阶段的代码,未经生产环境调优 - ❌ 良性样本集测试有限(50 个文件 << 调优所需的 100 万+) - ⚠️ **预期**:在没有广泛调优的情况下会有高误报率 - ⚠️ **现实**:模式检测会标记合法文件 - 🎯 **下一步**:减少误报需要 6-12 个月的调优 **为什么这很重要:** 高误报率 = 用户禁用保护(比没有保护更糟) ⚠️ **关键的诚实部分:** **已执行的测试(在隔离的 VM 上):** - ✅ EICAR 标准测试文件 - 已检测 - ✅ PE 注入技术 (PEJINJECTION_IMPORT_COMBO) - 已检测 - ✅ 高级规避模式(导入挂钩、API 垫片)- 已检测 - ✅ 现实中的可疑可执行文件(malware_test 样本)- 部分已检测 - ✅ 系统稳定性 - 未观察到崩溃 **误报率:未知(可能很高)** - ❌ 这是研究阶段的代码,未经生产环境调优 - ❌ 良性样本集测试有限(50 个文件 << 调优所需的 100 万+) - ⚠️ **预期**:在没有广泛调优的情况下会有高误报率 - ⚠️ **现实**:模式检测会标记合法文件 - 🎯 **下一步**:减少误报需要 6-12 个月的调优 **为什么这很重要:** 高误报率 = 用户禁用保护(比没有保护更糟) ## 自动隔离改进(v1.0.1 修复) **已修复:隔离现在会在可疑级别触发**(提交 e44d61e) 以前:只有恶意严重程度的检测才会被自动隔离 现在:可疑级别的检测也会触发自动隔离 **结果:** - ✅ DLP 发现(泄露的凭据、信用卡)→ 自动隔离 - ✅ 供应链威胁(混淆代码、数据外传钩子)→ 自动隔离 - ✅ Hook Hunt 异常 → 自动隔离 - ✅ 内存注入模式 → 自动隔离 - ✅ 历史记录选项卡 + 隔离选项卡现在保持一致 ## 减少误报(v1.0.1 改进) **近期优化:上下文感知检测**(提交 bc522cf) 改进了三个模块,通过理解上下文来减少警报疲劳: 1. **DLP(数据丢失防护)** - ✅ 不再将 `package.json` 中的版本号标记为信用卡号 - ✅ 依赖文件(`*.lock`、`package-lock.json`)被排除在信用卡检测之外 - ✅ Luhn + BIN 验证仍对实际泄露的凭据有效 2. **供应链防御** - ✅ 压缩/打包的 JS(`.min.js`、`bundle.js`,带有 sourcemap)不再被标记为混淆 - ✅ `node_modules/`、`dist/`、`build/` 目录被识别为构建产物 - ✅ 仍然能以高置信度检测到真实的恶意软件混淆模式 3. **DLL 监控** - ✅ 具有目录签名(HID.DLL、rpcss.dll)的系统 DLL 不再被标记为“未签名” - ✅ 同时检查 Authenticode 和 Windows 目录签名 - ✅ 用户目录中高风险的未签名 DLL 仍然会被检测到 **理念**:保持零信任。不添加白名单 — 而是添加智能上下文感知。 ## 隔离管理 **v1.0.0 功能:自动隔离 + 批量操作** **自动隔离 (v1.0.1):** - ✅ 检测为**可疑或更高级别**的文件将被自动隔离 - ✅ 包括:DLP 泄露、供应链威胁、注入模式、钩子异常 - ✅ 所有检测到的威胁都会自动出现在隔离选项卡中 **手动管理 (v1.0.0):** 隔离选项卡提供: - ✅ 在表格中查看所有被隔离的威胁 - ✅ **全选按钮** - 快速选择所有隔离项目(幽灵风格,Figma 设计系统) - ✅ **多选** - 按住 Ctrl+Click 选择多个文件 - ✅ **批量恢复** - 将多个文件恢复到其原始位置 - ✅ **批量删除** - 永久删除多个隔离项目 - ✅ **进度跟踪** - 实时反馈(“已恢复 5/10 个文件”等) - ✅ **部分失败处理** - 如果某些操作失败,提供错误报告 **如何使用 | 如何使用:** 1. 导航到隔离选项卡 2. 点击“✓ 全选”按钮选择所有项目 3. 点击“恢复”(恢复)或“永久删除”(永久删除) 4. 显示进度并在完成时显示状态 **v1.0.0 功能:全选与批量操作** 隔离选项卡提供: - ✅ 在表格中查看所有被隔离的威胁 - ✅ **全选按钮** - 快速选择所有隔离项目(幽灵风格,Figma 设计系统) - ✅ **多选** - 按住 Ctrl+Click 选择多个文件 - ✅ **批量恢复** - 将多个文件恢复到其原始位置 - ✅ **批量删除** - 永久删除多个隔离项目 - ✅ **进度跟踪** - 实时反馈(“已恢复 5/10 个文件”等) - ✅ **部分失败处理** - 如果某些操作失败,提供清晰的错误报告 ## AI 助手(内置) ### 基于 LLM 的本地威胁分析 **内置 `ai_assistant` 模块 — 嵌入了 llama.cpp,支持任何 GGUF 模型** AI 助手页面在进程内运行**本地语言模型**(不是云端,没有外部服务器)以进行威胁推理: - ✅ **模型**:任何通过 `ai_model_path` 设置的 GGUF 文件(已使用 Qwen2.5-7B-Instruct / Phi-3.5-mini 测试) - ✅ **运行时**:llama.cpp 直接链接到应用程序中(自动 GPU/CPU),~300-400ms/查询 - ✅ **隐私**:完全离线 — 无云端调用,无数据外传风险 - ✅ **能力**: - 高级去混淆推理(为什么这段代码很可疑?) - 专家级漏洞利用模式识别(内存损坏、提权签名) - 供应链威胁上下文感知(合法与恶意的构建产物) - 结合统计进程树分析的行为异常评分 - 多步骤威胁链关联 **威胁分析查询示例 (Qwen2.5-7B):** ``` Query: "Analyze this detected process behavior: Process: C:\Users\Default\AppData\Local\Temp\xyz.exe (PID 4821) - Opens HANDLE to System32\lsass.exe (read mode) - Code injection into csrss.exe (shellcode detected) - Registry persistence: HKLM\System\CurrentControlSet\Services\xyz - Network: DNS queries to 5+ C2 domains - File activity: Encrypting .docx, .xlsx files (pattern: ransomware) - Parent process: explorer.exe → cmd.exe → powershell.exe → xyz.exe Assess: malware type, confidence, and recommended action." Qwen2.5 Response: "THREAT LEVEL: CRITICAL (0.98 confidence) Classification: Multi-stage ransomware with C2 exfiltration Attack Chain Analysis: 1. Initial Access: User execution via explorer.exe context 2. Privilege Escalation: lsass.exe access indicates local account dumping intent 3. Defense Evasion: Process injection (csrss.exe) for stealth 4. Persistence: Registry service installation (survives reboot) 5. Exfiltration: C2 communication detected (DNS + direct IP) 6. Impact: File encryption (ransomware payload confirmed) Similar Malware Families: Emotet, Conti, LockBit (variant analysis) Recommended Actions: ✓ QUARANTINE immediately ✓ Block C2 IPs at firewall ✓ Disable affected user account ✓ Scan for lateral movement ✓ Restore from backup (pre-infection snapshot)" ``` ### 相关/伴随项目(独立的,未捆绑) 这些是**同一作者的独立项目**,不属于 AvSuite 二进制文件的一部分。AvSuite 目前**没有**向它们发送数据、依赖它们或导入它们中的任何一个 — 它们仅被列为相关的安全工具和未来可能的集成目标。 - **Sentinel** (`D:\Dev\Sentinel`) — 使用本地 LLM 的 Go SIEM/EDR;跨端点的事件关联。 - **EDRView** (`D:\Dev\EDRView`) — FastAPI + 暗色仪表盘,用于进程/网络遥测和取证。 - **BehaviorMatrix** (`C:\Dev\BehaviorMatrix`) — Python 行为分析推荐器,探索“正常”应用程序行为基线如何驱动异常评分。 这些是**同一作者的独立项目**,不属于 AvSuite 二进制文件的一部分。AvSuite 目前**没有**向它们发送数据、依赖它们或导入它们中的任何一个 — 它们仅被列为相关的安全工具和未来可能的集成目标。 ## 已实现的功能 ✅ - Minifilter 驱动程序(加载、附加、正常运行) - 基础行为规则引擎 - 自签名代码签名 - 事件数据库记录 - 安装程序 - VMware 测试已验证 - ✅ **全选 + 多选** (v1.0.0) - ✅ **带进度跟踪的批量恢复/删除** (v1.0.0) - ✅ **专业安装程序** (Inno Setup, v1.0.0) - ✅ **内置本地 LLM 助手**(`ai_assistant` 模块,嵌入式 llama.cpp + GGUF,离线) - ✅ **具有加权/分层评分的行为规则引擎**(感知误报,经过单元测试) - Minifilter 驱动程序(加载、附加、正常运行) - 基础行为规则引擎 - 自签名代码签名 - 事件数据库记录 - 安装程序 - VMware 测试已验证 - ✅ **全选 + 多选** (v1.0.0) - ✅ **带进度跟踪的批量恢复/删除** (v1.0.0) - ✅ **专业安装程序** (Inno Setup, v1.0.0) ## 未实现的功能 ❌ - ~~真实恶意软件测试~~ ✅ **基础测试**(PE 注入,一些规避模式) - **❌ 减少误报**(高误报率 - 研究阶段调优) - **❌ 全面的良性样本集**(已测试 50 个文件 << 需要 100 万+) - 性能优化(针对规模化调优) - 全面的规避抵抗力(尖端技术) - 企业许可证/支持功能 - 生产级 SLA/可靠性保证 - ~~真实恶意软件测试~~ ✅ **基础测试**(PE 注入,一些规避模式) - **❌ 减少误报**(高误报率 - 研究阶段调优) - **❌ 全面的良性样本集**(已测试 50 个文件 << 需要 100 万+) - 性能优化(针对规模化调优) - 全面的规避抵抗力(尖端技术) - 企业许可证/支持功能 - 生产级 SLA/可靠性保证 ## 快速开始 ### 前置条件 - Windows 11 (x64) - 管理员访问权限 - Visual Studio 2022(用于重新构建) - **仅限测试环境** - 这不适用于生产系统 - Windows 11 (x64) - 管理员访问权限 - Visual Studio 2022(用于重新构建) - **仅限测试环境** - 这不适用于生产系统 ### 设置(仅限 Windows 11 VM) ⚠️ **重要提示:此过程仅适用于隔离的测试 VM。** ⚠️ **重要提示:此过程仅适用于隔离的测试 VM。** #### 步骤 1:禁用安全启动(仅限 VM) ``` # 在 VMware VM 的 BIOS/UEFI 中 # 在安装 driver 前禁用 Secure Boot ``` ``` # 在 VMware VM 的 BIOS/UEFI 中 # 安装 driver 前禁用 Secure Boot ``` #### 步骤 2:启用测试签名模式 ``` # 以管理员身份运行 bcdedit /set testsigning on # 需要重启 shutdown /r /t 0 ``` ``` # 以管理员身份运行 bcdedit /set testsigning on # 需要重启 shutdown /r /t 0 ``` #### 步骤 3:生成自签名证书 ``` # 以管理员身份运行(在 repo 目录中) powershell -ExecutionPolicy Bypass -File .\generate-cert.ps1 ``` ``` # 以管理员身份运行(在 repo 目录中) powershell -ExecutionPolicy Bypass -File .\generate-cert.ps1 ``` #### 步骤 4:将证书安装到受信任的根 ``` # 以管理员身份运行 # 警告:仅在被隔离的测试 VM 中执行此操作 # 这会向您的系统添加一个不受信任的根证书 $cert = Get-PfxCertificate -FilePath "avsuite_cert.pfx" $store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine") $store.Open("ReadWrite") $store.Add($cert) $store.Close() Write-Host "Certificate installed" ``` ``` # 以管理员身份运行 # 警告:仅在被隔离的测试 VM 中执行此操作 # 此操作会向您的系统添加不受信任的根证书 $cert = Get-PfxCertificate -FilePath "avsuite_cert.pfx" $store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine") $store.Open("ReadWrite") $store.Add($cert) $store.Close() Write-Host "Chứng chỉ được cài đặt" ``` #### 步骤 5:安装驱动程序 ``` # 复制已签名的 driver copy avsuite_driver.sys C:\Windows\System32\drivers\AvMiniFilter.sys # 创建服务 sc create AvMiniFilter binPath= "C:\Windows\System32\drivers\AvMiniFilter.sys" type= kernel # 启动 net start AvMiniFilter # 验证 fltmc instances ``` ``` # 复制已签名的 driver copy avsuite_driver.sys C:\Windows\System32\drivers\AvMiniFilter.sys # 创建服务 sc create AvMiniFilter binPath= "C:\Windows\System32\drivers\AvMiniFilter.sys" type= kernel # 启动 net start AvMiniFilter # 验证 fltmc instances ``` ## 重要的限制条件 ### ⚠️ 误报(最关键) - **预期会有高误报率** - 模式检测会标记合法文件 - **未调优** - 研究阶段代码,未进行生产优化 - **可能破坏用户信任** - 看到过多误报警报的用户会禁用保护 - **没有良性样本基线** - 仅针对 50 个文件进行了测试,而不是 100 万+ - **解决方案需要 6-12 个月** - 需要广泛的调优周期 - **预期会有高误报率** - 模式检测会标记合法文件 - **未调优** - 研究阶段代码,未进行生产优化 - **可能破坏用户信任** - 看到过多误报警报的用户会禁用保护 - **没有良性样本基线** - 仅针对 50 个文件进行了测试,而不是 100 万+ - **解决方案需要 6-12 个月** - 需要广泛的调优周期 ### 安全 - **仅限自签名证书** - 不是来自受信任的 CA - 测试的恶意软件样本有限(不全面) - 无法抵抗复杂的规避 - 没有零日漏洞检测能力 - **仅限自签名证书** - 不是来自受信任的 CA - 测试的恶意软件样本有限(不全面) - 无法抵抗复杂的规避 - 没有零日漏洞检测能力 ### 性能 - 未针对生产工作负载进行优化 - 简化的规则评估 - 没有缓存机制 - 未在负载下进行基准测试 - 未针对生产工作负载进行优化 - 简化的规则评估 - 没有缓存机制 - 未在负载下进行基准测试 ### 完整度 - 仪表盘 UI 仅处于框架级别 - ETW 集成不完整 - 没有机器学习模型 - 威胁模式覆盖范围有限 - 仪表盘 UI 仅处于框架级别 - ETW 集成不完整 - 没有机器学习模型 - 威胁模式覆盖范围有限 ## 故障排除 ### 隔离选项卡 / 历史记录选项卡为空 **问题**:隔离或历史记录选项卡中没有显示数据 **根本原因**:驱动程序未加载 — 未检测到任何威胁 **解决方案**: 1. 检查驱动程序是否已加载:`fltmc instances`(应显示 AvMiniFilter) 2. 如果未加载:完成驱动程序设置(测试签名、证书、服务安装) 3. 驱动程序运行后,检测到的威胁将出现在选项卡中 4. 数据库初始化为空 — 数据会在检测到威胁时填充 **注意**:这是预期行为。如果没有运行内核驱动程序,引擎将无法监控文件,因此隔离和历史记录保持为空。 **问题**:隔离或历史记录选项卡中没有显示数据 **根本原因**:驱动程序未加载 — 未检测到任何威胁 **解决方案**: 1. 检查驱动程序是否已加载:`fltmc instances`(应显示 AvMiniFilter) 2. 如果未加载:完成驱动程序设置(测试签名、证书、服务安装) 3. 驱动程序运行后,检测到的威胁将出现在选项卡中 4. 数据库初始化为空 — 数据会在检测到威胁时填充 **注意**:这是预期行为。如果没有运行内核驱动程序,引擎将无法监控文件,因此隔离和历史记录保持为空。 ### 仪表盘无法启动 **问题**:应用启动时崩溃 **解决方案**: 1. 删除数据库文件:`删除 %APPDATA%\TeoAvSuite\avsuite.db*` (*.db-shm, *.db-wal) 2. 重启应用程序 — 将创建全新的数据库 3. 如果发生驱动程序错误,请重新应用设置步骤 **问题**:应用启动时崩溃 **解决方案**: 1. 删除数据库文件:`删除 %APPDATA%\TeoAvSuite\avsuite.db*` (*.db-shm, *.db-wal) 2. 重启应用程序 — 将创建全新的数据库 3. 如果发生驱动程序错误,请重新应用设置步骤 ### 驱动程序无法加载 **问题**:“Driver load failed”错误 **可能的原因**: - 安全启动未禁用(仅限 VM) - 测试签名模式未启用(`bcdedit /query testsigning`) - 证书未安装在受信任的根证书颁发机构中 - 驱动程序高度冲突 **解决方案**: 1. 验证测试签名是否已开启:`bcdedit /query testsigning` 2. 如果关闭,请启用:`bcdedit /set testsigning on`,然后重启 3. 验证证书:Windows 键 + R → `certmgr.msc` → 受信任的根证书颁发机构 4. 重新运行设置程序 **问题**:“Driver load failed”错误 **可能的原因**: - 安全启动未禁用(仅限 VM) - 测试签名模式未启用(`bcdedit /query testsigning`) - 证书未安装在受信任的根证书颁发机构中 - 驱动程序高度冲突 **解决方案**: 1. 验证测试签名是否已开启:`bcdedit /query testsigning` 2. 如果关闭,请启用:`bcdedit /set testsigning on`,然后重启 3. 验证证书:Windows 键 + R → `certmgr.msc` → 受信任的根证书颁发机构 4. 重新运行设置程序 ### 未检测到威胁 **问题**:引擎运行但没有警报 **检查**: - 驱动程序是否已加载?运行:`fltmc instances` - 应显示 AvMiniFilter - YARA 规则是否存在?检查:`avsuite.json` 配置 - 隔离是否正在收集文件?检查数据库 **注意**:这是一个研究项目 — 并非全面的恶意软件检测 **问题**:引擎运行但没有警报 **检查**: - 驱动程序是否已加载?运行:`fltmc instances` - 应显示 AvMiniFilter - YARA 规则是否存在?检查:`avsuite.json` 配置 - 隔离是否正在收集文件?检查数据库 **注意**:这是一个研究项目 — 并非全面的恶意软件检测 ## 测试结果 **真实测试执行(2026-07-09):** - EICAR 标准测试文件:✅ 已创建 - 良性文件(50 个):✅ 已监控 - 驱动程序实例:✅ 在 C: 盘上有 3 个处于活动状态 - 系统稳定性:✅ 无崩溃 - 高度:385101 ✅ 正确 **重要提示**:这不是全面的。真正的防病毒软件需要: - 100 万+ 真实的恶意软件样本 - 100 万+ 良性的应用程序二进制文件 - 误报率评估 - 性能压力测试 - 规避技术抵抗力 **真实测试执行(2026-07-09):** - EICAR 标准测试文件:✅ 已创建 - 良性文件(50 个):✅ 已监控 - 驱动程序实例:✅ 在 C: 盘上有 3 个处于活动状态 - 系统稳定性:✅ 无崩溃 - 高度:385101 ✅ 正确 **重要提示**:这不是全面的测试。真正的防病毒软件需要: - 100 万+ 真实的恶意软件样本 - 100 万+ 良性的应用程序二进制文件 - 误报率评估 - 性能压力测试 - 规避技术抵抗力 ## 工程权衡与现实问题 ### 为什么误报是一个难题 **具体示例:** ``` Behavior Rule: "Process opens System32 file + modifies registry" - Legit case: Windows Update (system process, necessary) - Attack case: Ransomware propagation - Pattern looks identical to detection engine - Solution: Need 1M+ benign files to learn "normal" behavior - Current state: 50 test files (0.005% coverage) ``` **真实的权衡:** - 严格的规则 → 遗漏恶意软件(假阴性 - 对安全性不利) - 宽松的规则 → 标记合法文件(误报 - 对用户信任不利) - **最佳平衡点需要**:数月的语料库分析 + 用户反馈周期 **为什么这对作品集很重要:** 表明我了解防病毒设计中的真正限制不在于检测算法,而在于针对现实世界复杂性的调优。许多“防病毒项目”完全忽略了这一点。 ### 具体示例: ``` Quy tắc hành vi: "Process mở file System32 + sửa registry" - Hợp lệ: Windows Update (process hệ thống, cần thiết) - Tấn công: Ransomware lây lan - Với engine phát hiện, hai mẫu này trông giống hệt nhau - Giải pháp: Cần 1M+ file lành để học hành vi "bình thường" - Hiện tại: 50 file test (0,005% độ phủ) ``` **真实的权衡:** - 严格的规则 → 遗漏恶意软件(假阴性 - 对安全性不利) - 宽松的规则 → 标记合法文件(误报 - 对用户信任不利) - **最佳平衡点需要**:数月的语料库分析 + 用户反馈周期 **为什么这对作品集很重要:** 表明我了解防病毒设计中的真正限制不在于检测算法,而在于针对现实世界复杂性的调优。许多“防病毒项目”完全忽略了这一点。 ## 作品集审查 ### 这说明了什么 ✅ Windows 内核编程 ✅ 驱动程序开发知识 ✅ 安全架构设计 ✅ 代码签名实践 ✅ **诚实的问题范围界定**(了解困难的部分) ✅ 专业的文档 ✅ 现实的限制(不过度夸大) ✅ Windows 内核编程 ✅ 驱动程序开发知识 ✅ 安全架构设计 ✅ 代码签名实践 ✅ **诚实的问题范围界定**(了解困难的部分) ✅ 专业的文档 ✅ 现实的限制(不过度夸大) ### 这不代表什么 ❌ 生产就绪的防病毒软件 ❌ 企业级可靠性 ❌ 全面的恶意软件覆盖 ❌ 低误报率 ❌ 针对生产环境的性能优化 **为什么不对这些进行声明本身是有价值的:** 许多作品集项目夸大了其能力。这个项目明确记录了缺失的内容以及为什么缺失(不是出于懒惰 — 调优需要 6-12 个月的专注工作)。 ❌ 生产就绪的防病毒软件 ❌ 企业级可靠性 ❌ 全面的恶意软件覆盖 ❌ 低误报率 ❌ 针对生产环境的性能优化 **为什么不对这些进行声明本身是有价值的:** 许多作品集项目夸大了其能力。这个项目明确记录了缺失的内容以及为什么缺失(不是出于懒惰 — 调优需要 6-12 个月的专注工作)。 ## 文件 - `driver/AvMiniFilter/` - 内核驱动程序源码 + 二进制文件 | 内核驱动程序源码 + 二进制文件 - `src/` - 核心引擎代码 | 核心引擎代码 - `.gitignore` - 保护机密(*.pfx 等) | 保护机密(*.pfx 等) - `STATUS.md` - 组件完成度跟踪 | 组件完成度跟踪 - `TEST-RESULTS.md` - 真实测试数据 | 真实测试数据 - `generate-cert.ps1` - 创建自签名证书 | 创建自签名证书 ## 面试谈话要点 **“你的误报率是多少?”** **“你的误报率是多少?”** **“这具备生产环境可用性吗?”** **“这具备生产环境可用性吗?”** **“为什么使用自签名证书?”** **“为什么使用自签名证书?”** **“你会如何将其投入生产?”** **“你会如何将其投入生产?”** ## 分发与发布 **当前版本**:v1.0.2 (2026-07-11) — Figma UI 重设计(分区的侧边栏,扁平的琥珀色设计系统) - 可在以下网址获取:https://github.com/teohumble1/avsuite/releases - 格式:TeoAvSuite-Setup-v1.0.2.exe (Windows 10/11 安装程序) - 安装:建议在管理员权限 + 隔离的 VM 中进行 - 卸载:Windows 控制面板 → 程序和功能 **当前版本**:v1.0.2 (2026-07-11) — Figma UI 重设计(分区的侧边栏,扁平的琥珀色设计系统) - 可在以下网址获取:https://github.com/teohumble1/avsuite/releases - 格式:TeoAvSuite-Setup-v1.0.2.exe (Windows 10/11 安装程序) - 安装:建议在管理员权限 + 隔离的 VM 中进行 - 卸载:Windows 控制面板 → 程序和功能 ## 尖锐的问题(你应该预期这些问题) **问:“如果我们将此部署给 100 万用户,会发生什么?”** **问:“如果我们将此部署给 100 万用户,会发生什么?”** **问:“为什么不直接添加更多规则?”** **问:“为什么不直接添加更多规则?”** **问:“那么这实际上对用户造成的危害大于帮助吗?”** **问:“那么这实际上对用户造成的危害大于帮助吗?”** **问:“你会如何优先考虑:检测还是误报调优?”** **问:“你会如何优先考虑:检测还是误报调优?”** ## 学习资源 请参阅 `STATUS.md` 获取关于已完成部分与框架级部分的详细组件分解。 请参阅 `STATUS.md` 获取关于已完成部分与框架级部分的详细组件分解。 ## 作者 Teohumble - 安全研究与开发 | 安全研究与开发 **项目状态**:研究/作品集 | 项目状态:研究/作品集 **平台**:Windows 11 **构建状态**:干净(Debug + Release) | 构建状态:干净(Debug + Release) **测试**:已通过 VMware 验证 | 测试:已通过 VMware 验证 **仓库**:https://github.com/teohumble1/avsuite
标签:Bash脚本, ETW, Qt6, Windows内核, YARA, 云资产可视化, 本地大模型, 白帽子