teohumble1/avsuite
GitHub: teohumble1/avsuite
一个展示 Windows 内核模式威胁检测与行为分析的安全研究套件,集成了 minifilter 驱动、YARA 引擎、ETW 监控和本地 AI 分析。
Stars: 1 | Forks: 0
### Windows 内核安全研究套件
**内核模式威胁检测 · YARA 引擎 · 行为分析 · 本地 AI 分析师**
*Windows 内核安全研究套件 — 内核模式威胁检测、YARA、行为分析、本地 AI 助手*






[-FF7A00?style=for-the-badge&logo=windows&logoColor=white)](https://github.com/teohumble1/avsuite/releases/download/v1.0.2/TeoAvSuite-Setup-v1.0.2.exe) **一键直接下载 — Windows 10/11 x64 · 直接下载,无需注册**
[**✨ 功能**](#features--tính-năng) · [**🚀 安装**](#installation--cài-đặt) · [**🖼️ 截图**](#screenshots--ảnh-chụp-màn-hình) · [**📦 所有发布版本**](https://github.com/teohumble1/avsuite/releases) · [**⚠️ 限制**](#important-limitations--những-hạn-chế-quan-trọng)
|
|
*在运行的系统中捕获的真实数据 — 琥珀色设计系统以 1:1 从 Figma 重设计中移植。*
*在运行的系统中捕获的真实数据 — 琥珀色设计系统以 1:1 从 Figma 重设计中移植。*
## 安装说明
**兼容 Windows 10 和 Windows 11 (x64)** | **兼容 Windows 10 和 Windows 11 (x64)**
### 选项 1:安装程序 .exe(推荐)
**一键专业安装程序 - 就像任何普通应用一样**
**直接链接 | 直接链接:** https://github.com/teohumble1/avsuite/releases/download/v1.0.2/TeoAvSuite-Setup-v1.0.2.exe
下载并运行:
```
# 访问: https://github.com/teohumble1/avsuite/releases
# 下载: TeoAvSuite-Setup-v1.0.2.exe
# 双击运行安装程序
# 按照安装向导操作(Next → Next → Install)
# 从 Start Menu 或 Desktop 快捷方式启动
```
**一键专业安装程序 - 就像任何普通应用一样**
```
# 访问: https://github.com/teohumble1/avsuite/releases
# 下载: TeoAvSuite-Setup-v1.0.2.exe
# Double-click 以运行安装程序
# 按照向导操作(Next → Next → Install)
# 从 Start Menu 或 Desktop 快捷方式打开
```
**安装程序功能 | 安装程序功能:**
- ✅ 自动安装到 Program Files
- ✅ 开始菜单 + 桌面快捷方式
- ✅ 可选的开机自启
- ✅ 通过控制面板彻底卸载
- ✅ 兼容 Windows 10 和 11
- ✅ 打包所有依赖项(Qt6、AI 库、YARA 规则)
### 选项 2:便携版 ZIP
**无需安装 - 解压并运行**
```
# 下载: TeoAvSuite-v1.0.1-Portable.zip
# 解压 ZIP 文件
# 右键点击 setup.bat → Run as Administrator
```
**包含内容:**
- ✅ 仪表盘 UI + 控制台宿主 + 更新服务器
- ✅ 配置 + 设置脚本 + 文档
### 选项 3:从源码构建
**要求 | 要求:**
- Visual Studio 2022(带有 C++ 工作负载)
- CMake 3.16+
- Windows 11 SDK
**构建步骤 | 构建步骤:**
```
# Clone 仓库
git clone https://github.com/teohumble1/avsuite.git
cd avsuite
# 创建 build 目录
mkdir build
cd build
# 生成 build 文件
cmake -G "Visual Studio 17 2022" -A x64 -DCMAKE_BUILD_TYPE=Release ..
# Build 项目
cmake --build . --config Release
# 输出: build\release\src\dashboard_ui\Release\avdashboard.exe
```
## 技术实现
### 内核驱动程序
- **语言**:C
- **架构**:WDM minifilter
- **大小**:16.6 KB(已优化)
- **状态**:功能正常,已在 Windows 11 VMware 上测试
- **签名**:自签名证书 (SHA256)
- **语言**:C
- **架构**:WDM minifilter
- **大小**:16.6 KB(已优化)
- **状态**:功能正常,已在 Windows 11 VMware 上测试
- **签名**:自签名证书 (SHA256)
### 行为引擎
- 可配置的模式检测
- 文件/注册表/进程监控
- 事件记录到 SQLite 数据库
- 实时决策制定
- 可配置的模式检测
- 文件/注册表/进程监控
- 事件记录到 SQLite 数据库
- 实时决策制定
### 测试与误报率
⚠️ **关键的诚实部分:**
**已执行的测试(在隔离的 VM 上):**
- ✅ EICAR 标准测试文件 - 已检测
- ✅ PE 注入技术 (PEJINJECTION_IMPORT_COMBO) - 已检测
- ✅ 高级规避模式(导入挂钩、API 垫片)- 已检测
- ✅ 现实中的可疑可执行文件(malware_test 样本)- 部分已检测
- ✅ 系统稳定性 - 未观察到崩溃
**误报率:未知(可能很高)**
- ❌ 这是研究阶段的代码,未经生产环境调优
- ❌ 良性样本集测试有限(50 个文件 << 调优所需的 100 万+)
- ⚠️ **预期**:在没有广泛调优的情况下会有高误报率
- ⚠️ **现实**:模式检测会标记合法文件
- 🎯 **下一步**:减少误报需要 6-12 个月的调优
**为什么这很重要:**
高误报率 = 用户禁用保护(比没有保护更糟)
⚠️ **关键的诚实部分:**
**已执行的测试(在隔离的 VM 上):**
- ✅ EICAR 标准测试文件 - 已检测
- ✅ PE 注入技术 (PEJINJECTION_IMPORT_COMBO) - 已检测
- ✅ 高级规避模式(导入挂钩、API 垫片)- 已检测
- ✅ 现实中的可疑可执行文件(malware_test 样本)- 部分已检测
- ✅ 系统稳定性 - 未观察到崩溃
**误报率:未知(可能很高)**
- ❌ 这是研究阶段的代码,未经生产环境调优
- ❌ 良性样本集测试有限(50 个文件 << 调优所需的 100 万+)
- ⚠️ **预期**:在没有广泛调优的情况下会有高误报率
- ⚠️ **现实**:模式检测会标记合法文件
- 🎯 **下一步**:减少误报需要 6-12 个月的调优
**为什么这很重要:**
高误报率 = 用户禁用保护(比没有保护更糟)
## 自动隔离改进(v1.0.1 修复)
**已修复:隔离现在会在可疑级别触发**(提交 e44d61e)
以前:只有恶意严重程度的检测才会被自动隔离
现在:可疑级别的检测也会触发自动隔离
**结果:**
- ✅ DLP 发现(泄露的凭据、信用卡)→ 自动隔离
- ✅ 供应链威胁(混淆代码、数据外传钩子)→ 自动隔离
- ✅ Hook Hunt 异常 → 自动隔离
- ✅ 内存注入模式 → 自动隔离
- ✅ 历史记录选项卡 + 隔离选项卡现在保持一致
## 减少误报(v1.0.1 改进)
**近期优化:上下文感知检测**(提交 bc522cf)
改进了三个模块,通过理解上下文来减少警报疲劳:
1. **DLP(数据丢失防护)**
- ✅ 不再将 `package.json` 中的版本号标记为信用卡号
- ✅ 依赖文件(`*.lock`、`package-lock.json`)被排除在信用卡检测之外
- ✅ Luhn + BIN 验证仍对实际泄露的凭据有效
2. **供应链防御**
- ✅ 压缩/打包的 JS(`.min.js`、`bundle.js`,带有 sourcemap)不再被标记为混淆
- ✅ `node_modules/`、`dist/`、`build/` 目录被识别为构建产物
- ✅ 仍然能以高置信度检测到真实的恶意软件混淆模式
3. **DLL 监控**
- ✅ 具有目录签名(HID.DLL、rpcss.dll)的系统 DLL 不再被标记为“未签名”
- ✅ 同时检查 Authenticode 和 Windows 目录签名
- ✅ 用户目录中高风险的未签名 DLL 仍然会被检测到
**理念**:保持零信任。不添加白名单 — 而是添加智能上下文感知。
## 隔离管理
**v1.0.0 功能:自动隔离 + 批量操作**
**自动隔离 (v1.0.1):**
- ✅ 检测为**可疑或更高级别**的文件将被自动隔离
- ✅ 包括:DLP 泄露、供应链威胁、注入模式、钩子异常
- ✅ 所有检测到的威胁都会自动出现在隔离选项卡中
**手动管理 (v1.0.0):**
隔离选项卡提供:
- ✅ 在表格中查看所有被隔离的威胁
- ✅ **全选按钮** - 快速选择所有隔离项目(幽灵风格,Figma 设计系统)
- ✅ **多选** - 按住 Ctrl+Click 选择多个文件
- ✅ **批量恢复** - 将多个文件恢复到其原始位置
- ✅ **批量删除** - 永久删除多个隔离项目
- ✅ **进度跟踪** - 实时反馈(“已恢复 5/10 个文件”等)
- ✅ **部分失败处理** - 如果某些操作失败,提供错误报告
**如何使用 | 如何使用:**
1. 导航到隔离选项卡
2. 点击“✓ 全选”按钮选择所有项目
3. 点击“恢复”(恢复)或“永久删除”(永久删除)
4. 显示进度并在完成时显示状态
**v1.0.0 功能:全选与批量操作**
隔离选项卡提供:
- ✅ 在表格中查看所有被隔离的威胁
- ✅ **全选按钮** - 快速选择所有隔离项目(幽灵风格,Figma 设计系统)
- ✅ **多选** - 按住 Ctrl+Click 选择多个文件
- ✅ **批量恢复** - 将多个文件恢复到其原始位置
- ✅ **批量删除** - 永久删除多个隔离项目
- ✅ **进度跟踪** - 实时反馈(“已恢复 5/10 个文件”等)
- ✅ **部分失败处理** - 如果某些操作失败,提供清晰的错误报告
## AI 助手(内置)
### 基于 LLM 的本地威胁分析
**内置 `ai_assistant` 模块 — 嵌入了 llama.cpp,支持任何 GGUF 模型**
AI 助手页面在进程内运行**本地语言模型**(不是云端,没有外部服务器)以进行威胁推理:
- ✅ **模型**:任何通过 `ai_model_path` 设置的 GGUF 文件(已使用 Qwen2.5-7B-Instruct / Phi-3.5-mini 测试)
- ✅ **运行时**:llama.cpp 直接链接到应用程序中(自动 GPU/CPU),~300-400ms/查询
- ✅ **隐私**:完全离线 — 无云端调用,无数据外传风险
- ✅ **能力**:
- 高级去混淆推理(为什么这段代码很可疑?)
- 专家级漏洞利用模式识别(内存损坏、提权签名)
- 供应链威胁上下文感知(合法与恶意的构建产物)
- 结合统计进程树分析的行为异常评分
- 多步骤威胁链关联
**威胁分析查询示例 (Qwen2.5-7B):**
```
Query: "Analyze this detected process behavior:
Process: C:\Users\Default\AppData\Local\Temp\xyz.exe (PID 4821)
- Opens HANDLE to System32\lsass.exe (read mode)
- Code injection into csrss.exe (shellcode detected)
- Registry persistence: HKLM\System\CurrentControlSet\Services\xyz
- Network: DNS queries to 5+ C2 domains
- File activity: Encrypting .docx, .xlsx files (pattern: ransomware)
- Parent process: explorer.exe → cmd.exe → powershell.exe → xyz.exe
Assess: malware type, confidence, and recommended action."
Qwen2.5 Response:
"THREAT LEVEL: CRITICAL (0.98 confidence)
Classification: Multi-stage ransomware with C2 exfiltration
Attack Chain Analysis:
1. Initial Access: User execution via explorer.exe context
2. Privilege Escalation: lsass.exe access indicates local account dumping intent
3. Defense Evasion: Process injection (csrss.exe) for stealth
4. Persistence: Registry service installation (survives reboot)
5. Exfiltration: C2 communication detected (DNS + direct IP)
6. Impact: File encryption (ransomware payload confirmed)
Similar Malware Families: Emotet, Conti, LockBit (variant analysis)
Recommended Actions:
✓ QUARANTINE immediately
✓ Block C2 IPs at firewall
✓ Disable affected user account
✓ Scan for lateral movement
✓ Restore from backup (pre-infection snapshot)"
```
### 相关/伴随项目(独立的,未捆绑)
这些是**同一作者的独立项目**,不属于 AvSuite 二进制文件的一部分。AvSuite 目前**没有**向它们发送数据、依赖它们或导入它们中的任何一个 — 它们仅被列为相关的安全工具和未来可能的集成目标。
- **Sentinel** (`D:\Dev\Sentinel`) — 使用本地 LLM 的 Go SIEM/EDR;跨端点的事件关联。
- **EDRView** (`D:\Dev\EDRView`) — FastAPI + 暗色仪表盘,用于进程/网络遥测和取证。
- **BehaviorMatrix** (`C:\Dev\BehaviorMatrix`) — Python 行为分析推荐器,探索“正常”应用程序行为基线如何驱动异常评分。
这些是**同一作者的独立项目**,不属于 AvSuite 二进制文件的一部分。AvSuite 目前**没有**向它们发送数据、依赖它们或导入它们中的任何一个 — 它们仅被列为相关的安全工具和未来可能的集成目标。
## 已实现的功能 ✅
- Minifilter 驱动程序(加载、附加、正常运行)
- 基础行为规则引擎
- 自签名代码签名
- 事件数据库记录
- 安装程序
- VMware 测试已验证
- ✅ **全选 + 多选** (v1.0.0)
- ✅ **带进度跟踪的批量恢复/删除** (v1.0.0)
- ✅ **专业安装程序** (Inno Setup, v1.0.0)
- ✅ **内置本地 LLM 助手**(`ai_assistant` 模块,嵌入式 llama.cpp + GGUF,离线)
- ✅ **具有加权/分层评分的行为规则引擎**(感知误报,经过单元测试)
- Minifilter 驱动程序(加载、附加、正常运行)
- 基础行为规则引擎
- 自签名代码签名
- 事件数据库记录
- 安装程序
- VMware 测试已验证
- ✅ **全选 + 多选** (v1.0.0)
- ✅ **带进度跟踪的批量恢复/删除** (v1.0.0)
- ✅ **专业安装程序** (Inno Setup, v1.0.0)
## 未实现的功能 ❌
- ~~真实恶意软件测试~~ ✅ **基础测试**(PE 注入,一些规避模式)
- **❌ 减少误报**(高误报率 - 研究阶段调优)
- **❌ 全面的良性样本集**(已测试 50 个文件 << 需要 100 万+)
- 性能优化(针对规模化调优)
- 全面的规避抵抗力(尖端技术)
- 企业许可证/支持功能
- 生产级 SLA/可靠性保证
- ~~真实恶意软件测试~~ ✅ **基础测试**(PE 注入,一些规避模式)
- **❌ 减少误报**(高误报率 - 研究阶段调优)
- **❌ 全面的良性样本集**(已测试 50 个文件 << 需要 100 万+)
- 性能优化(针对规模化调优)
- 全面的规避抵抗力(尖端技术)
- 企业许可证/支持功能
- 生产级 SLA/可靠性保证
## 快速开始
### 前置条件
- Windows 11 (x64)
- 管理员访问权限
- Visual Studio 2022(用于重新构建)
- **仅限测试环境** - 这不适用于生产系统
- Windows 11 (x64)
- 管理员访问权限
- Visual Studio 2022(用于重新构建)
- **仅限测试环境** - 这不适用于生产系统
### 设置(仅限 Windows 11 VM)
⚠️ **重要提示:此过程仅适用于隔离的测试 VM。**
⚠️ **重要提示:此过程仅适用于隔离的测试 VM。**
#### 步骤 1:禁用安全启动(仅限 VM)
```
# 在 VMware VM 的 BIOS/UEFI 中
# 在安装 driver 前禁用 Secure Boot
```
```
# 在 VMware VM 的 BIOS/UEFI 中
# 安装 driver 前禁用 Secure Boot
```
#### 步骤 2:启用测试签名模式
```
# 以管理员身份运行
bcdedit /set testsigning on
# 需要重启
shutdown /r /t 0
```
```
# 以管理员身份运行
bcdedit /set testsigning on
# 需要重启
shutdown /r /t 0
```
#### 步骤 3:生成自签名证书
```
# 以管理员身份运行(在 repo 目录中)
powershell -ExecutionPolicy Bypass -File .\generate-cert.ps1
```
```
# 以管理员身份运行(在 repo 目录中)
powershell -ExecutionPolicy Bypass -File .\generate-cert.ps1
```
#### 步骤 4:将证书安装到受信任的根
```
# 以管理员身份运行
# 警告:仅在被隔离的测试 VM 中执行此操作
# 这会向您的系统添加一个不受信任的根证书
$cert = Get-PfxCertificate -FilePath "avsuite_cert.pfx"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine")
$store.Open("ReadWrite")
$store.Add($cert)
$store.Close()
Write-Host "Certificate installed"
```
```
# 以管理员身份运行
# 警告:仅在被隔离的测试 VM 中执行此操作
# 此操作会向您的系统添加不受信任的根证书
$cert = Get-PfxCertificate -FilePath "avsuite_cert.pfx"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine")
$store.Open("ReadWrite")
$store.Add($cert)
$store.Close()
Write-Host "Chứng chỉ được cài đặt"
```
#### 步骤 5:安装驱动程序
```
# 复制已签名的 driver
copy avsuite_driver.sys C:\Windows\System32\drivers\AvMiniFilter.sys
# 创建服务
sc create AvMiniFilter binPath= "C:\Windows\System32\drivers\AvMiniFilter.sys" type= kernel
# 启动
net start AvMiniFilter
# 验证
fltmc instances
```
```
# 复制已签名的 driver
copy avsuite_driver.sys C:\Windows\System32\drivers\AvMiniFilter.sys
# 创建服务
sc create AvMiniFilter binPath= "C:\Windows\System32\drivers\AvMiniFilter.sys" type= kernel
# 启动
net start AvMiniFilter
# 验证
fltmc instances
```
## 重要的限制条件
### ⚠️ 误报(最关键)
- **预期会有高误报率** - 模式检测会标记合法文件
- **未调优** - 研究阶段代码,未进行生产优化
- **可能破坏用户信任** - 看到过多误报警报的用户会禁用保护
- **没有良性样本基线** - 仅针对 50 个文件进行了测试,而不是 100 万+
- **解决方案需要 6-12 个月** - 需要广泛的调优周期
- **预期会有高误报率** - 模式检测会标记合法文件
- **未调优** - 研究阶段代码,未进行生产优化
- **可能破坏用户信任** - 看到过多误报警报的用户会禁用保护
- **没有良性样本基线** - 仅针对 50 个文件进行了测试,而不是 100 万+
- **解决方案需要 6-12 个月** - 需要广泛的调优周期
### 安全
- **仅限自签名证书** - 不是来自受信任的 CA
- 测试的恶意软件样本有限(不全面)
- 无法抵抗复杂的规避
- 没有零日漏洞检测能力
- **仅限自签名证书** - 不是来自受信任的 CA
- 测试的恶意软件样本有限(不全面)
- 无法抵抗复杂的规避
- 没有零日漏洞检测能力
### 性能
- 未针对生产工作负载进行优化
- 简化的规则评估
- 没有缓存机制
- 未在负载下进行基准测试
- 未针对生产工作负载进行优化
- 简化的规则评估
- 没有缓存机制
- 未在负载下进行基准测试
### 完整度
- 仪表盘 UI 仅处于框架级别
- ETW 集成不完整
- 没有机器学习模型
- 威胁模式覆盖范围有限
- 仪表盘 UI 仅处于框架级别
- ETW 集成不完整
- 没有机器学习模型
- 威胁模式覆盖范围有限
## 故障排除
### 隔离选项卡 / 历史记录选项卡为空
**问题**:隔离或历史记录选项卡中没有显示数据
**根本原因**:驱动程序未加载 — 未检测到任何威胁
**解决方案**:
1. 检查驱动程序是否已加载:`fltmc instances`(应显示 AvMiniFilter)
2. 如果未加载:完成驱动程序设置(测试签名、证书、服务安装)
3. 驱动程序运行后,检测到的威胁将出现在选项卡中
4. 数据库初始化为空 — 数据会在检测到威胁时填充
**注意**:这是预期行为。如果没有运行内核驱动程序,引擎将无法监控文件,因此隔离和历史记录保持为空。
**问题**:隔离或历史记录选项卡中没有显示数据
**根本原因**:驱动程序未加载 — 未检测到任何威胁
**解决方案**:
1. 检查驱动程序是否已加载:`fltmc instances`(应显示 AvMiniFilter)
2. 如果未加载:完成驱动程序设置(测试签名、证书、服务安装)
3. 驱动程序运行后,检测到的威胁将出现在选项卡中
4. 数据库初始化为空 — 数据会在检测到威胁时填充
**注意**:这是预期行为。如果没有运行内核驱动程序,引擎将无法监控文件,因此隔离和历史记录保持为空。
### 仪表盘无法启动
**问题**:应用启动时崩溃
**解决方案**:
1. 删除数据库文件:`删除 %APPDATA%\TeoAvSuite\avsuite.db*` (*.db-shm, *.db-wal)
2. 重启应用程序 — 将创建全新的数据库
3. 如果发生驱动程序错误,请重新应用设置步骤
**问题**:应用启动时崩溃
**解决方案**:
1. 删除数据库文件:`删除 %APPDATA%\TeoAvSuite\avsuite.db*` (*.db-shm, *.db-wal)
2. 重启应用程序 — 将创建全新的数据库
3. 如果发生驱动程序错误,请重新应用设置步骤
### 驱动程序无法加载
**问题**:“Driver load failed”错误
**可能的原因**:
- 安全启动未禁用(仅限 VM)
- 测试签名模式未启用(`bcdedit /query testsigning`)
- 证书未安装在受信任的根证书颁发机构中
- 驱动程序高度冲突
**解决方案**:
1. 验证测试签名是否已开启:`bcdedit /query testsigning`
2. 如果关闭,请启用:`bcdedit /set testsigning on`,然后重启
3. 验证证书:Windows 键 + R → `certmgr.msc` → 受信任的根证书颁发机构
4. 重新运行设置程序
**问题**:“Driver load failed”错误
**可能的原因**:
- 安全启动未禁用(仅限 VM)
- 测试签名模式未启用(`bcdedit /query testsigning`)
- 证书未安装在受信任的根证书颁发机构中
- 驱动程序高度冲突
**解决方案**:
1. 验证测试签名是否已开启:`bcdedit /query testsigning`
2. 如果关闭,请启用:`bcdedit /set testsigning on`,然后重启
3. 验证证书:Windows 键 + R → `certmgr.msc` → 受信任的根证书颁发机构
4. 重新运行设置程序
### 未检测到威胁
**问题**:引擎运行但没有警报
**检查**:
- 驱动程序是否已加载?运行:`fltmc instances` - 应显示 AvMiniFilter
- YARA 规则是否存在?检查:`avsuite.json` 配置
- 隔离是否正在收集文件?检查数据库
**注意**:这是一个研究项目 — 并非全面的恶意软件检测
**问题**:引擎运行但没有警报
**检查**:
- 驱动程序是否已加载?运行:`fltmc instances` - 应显示 AvMiniFilter
- YARA 规则是否存在?检查:`avsuite.json` 配置
- 隔离是否正在收集文件?检查数据库
**注意**:这是一个研究项目 — 并非全面的恶意软件检测
## 测试结果
**真实测试执行(2026-07-09):**
- EICAR 标准测试文件:✅ 已创建
- 良性文件(50 个):✅ 已监控
- 驱动程序实例:✅ 在 C: 盘上有 3 个处于活动状态
- 系统稳定性:✅ 无崩溃
- 高度:385101 ✅ 正确
**重要提示**:这不是全面的。真正的防病毒软件需要:
- 100 万+ 真实的恶意软件样本
- 100 万+ 良性的应用程序二进制文件
- 误报率评估
- 性能压力测试
- 规避技术抵抗力
**真实测试执行(2026-07-09):**
- EICAR 标准测试文件:✅ 已创建
- 良性文件(50 个):✅ 已监控
- 驱动程序实例:✅ 在 C: 盘上有 3 个处于活动状态
- 系统稳定性:✅ 无崩溃
- 高度:385101 ✅ 正确
**重要提示**:这不是全面的测试。真正的防病毒软件需要:
- 100 万+ 真实的恶意软件样本
- 100 万+ 良性的应用程序二进制文件
- 误报率评估
- 性能压力测试
- 规避技术抵抗力
## 工程权衡与现实问题
### 为什么误报是一个难题
**具体示例:**
```
Behavior Rule: "Process opens System32 file + modifies registry"
- Legit case: Windows Update (system process, necessary)
- Attack case: Ransomware propagation
- Pattern looks identical to detection engine
- Solution: Need 1M+ benign files to learn "normal" behavior
- Current state: 50 test files (0.005% coverage)
```
**真实的权衡:**
- 严格的规则 → 遗漏恶意软件(假阴性 - 对安全性不利)
- 宽松的规则 → 标记合法文件(误报 - 对用户信任不利)
- **最佳平衡点需要**:数月的语料库分析 + 用户反馈周期
**为什么这对作品集很重要:**
表明我了解防病毒设计中的真正限制不在于检测算法,而在于针对现实世界复杂性的调优。许多“防病毒项目”完全忽略了这一点。
### 具体示例:
```
Quy tắc hành vi: "Process mở file System32 + sửa registry"
- Hợp lệ: Windows Update (process hệ thống, cần thiết)
- Tấn công: Ransomware lây lan
- Với engine phát hiện, hai mẫu này trông giống hệt nhau
- Giải pháp: Cần 1M+ file lành để học hành vi "bình thường"
- Hiện tại: 50 file test (0,005% độ phủ)
```
**真实的权衡:**
- 严格的规则 → 遗漏恶意软件(假阴性 - 对安全性不利)
- 宽松的规则 → 标记合法文件(误报 - 对用户信任不利)
- **最佳平衡点需要**:数月的语料库分析 + 用户反馈周期
**为什么这对作品集很重要:**
表明我了解防病毒设计中的真正限制不在于检测算法,而在于针对现实世界复杂性的调优。许多“防病毒项目”完全忽略了这一点。
## 作品集审查
### 这说明了什么
✅ Windows 内核编程
✅ 驱动程序开发知识
✅ 安全架构设计
✅ 代码签名实践
✅ **诚实的问题范围界定**(了解困难的部分)
✅ 专业的文档
✅ 现实的限制(不过度夸大)
✅ Windows 内核编程
✅ 驱动程序开发知识
✅ 安全架构设计
✅ 代码签名实践
✅ **诚实的问题范围界定**(了解困难的部分)
✅ 专业的文档
✅ 现实的限制(不过度夸大)
### 这不代表什么
❌ 生产就绪的防病毒软件
❌ 企业级可靠性
❌ 全面的恶意软件覆盖
❌ 低误报率
❌ 针对生产环境的性能优化
**为什么不对这些进行声明本身是有价值的:**
许多作品集项目夸大了其能力。这个项目明确记录了缺失的内容以及为什么缺失(不是出于懒惰 — 调优需要 6-12 个月的专注工作)。
❌ 生产就绪的防病毒软件
❌ 企业级可靠性
❌ 全面的恶意软件覆盖
❌ 低误报率
❌ 针对生产环境的性能优化
**为什么不对这些进行声明本身是有价值的:**
许多作品集项目夸大了其能力。这个项目明确记录了缺失的内容以及为什么缺失(不是出于懒惰 — 调优需要 6-12 个月的专注工作)。
## 文件
- `driver/AvMiniFilter/` - 内核驱动程序源码 + 二进制文件 | 内核驱动程序源码 + 二进制文件
- `src/` - 核心引擎代码 | 核心引擎代码
- `.gitignore` - 保护机密(*.pfx 等) | 保护机密(*.pfx 等)
- `STATUS.md` - 组件完成度跟踪 | 组件完成度跟踪
- `TEST-RESULTS.md` - 真实测试数据 | 真实测试数据
- `generate-cert.ps1` - 创建自签名证书 | 创建自签名证书
## 面试谈话要点
**“你的误报率是多少?”**
**“你的误报率是多少?”**
**“这具备生产环境可用性吗?”**
**“这具备生产环境可用性吗?”**
**“为什么使用自签名证书?”**
**“为什么使用自签名证书?”**
**“你会如何将其投入生产?”**
**“你会如何将其投入生产?”**
## 分发与发布
**当前版本**:v1.0.2 (2026-07-11) — Figma UI 重设计(分区的侧边栏,扁平的琥珀色设计系统)
- 可在以下网址获取:https://github.com/teohumble1/avsuite/releases
- 格式:TeoAvSuite-Setup-v1.0.2.exe (Windows 10/11 安装程序)
- 安装:建议在管理员权限 + 隔离的 VM 中进行
- 卸载:Windows 控制面板 → 程序和功能
**当前版本**:v1.0.2 (2026-07-11) — Figma UI 重设计(分区的侧边栏,扁平的琥珀色设计系统)
- 可在以下网址获取:https://github.com/teohumble1/avsuite/releases
- 格式:TeoAvSuite-Setup-v1.0.2.exe (Windows 10/11 安装程序)
- 安装:建议在管理员权限 + 隔离的 VM 中进行
- 卸载:Windows 控制面板 → 程序和功能
## 尖锐的问题(你应该预期这些问题)
**问:“如果我们将此部署给 100 万用户,会发生什么?”**
**问:“如果我们将此部署给 100 万用户,会发生什么?”**
**问:“为什么不直接添加更多规则?”**
**问:“为什么不直接添加更多规则?”**
**问:“那么这实际上对用户造成的危害大于帮助吗?”**
**问:“那么这实际上对用户造成的危害大于帮助吗?”**
**问:“你会如何优先考虑:检测还是误报调优?”**
**问:“你会如何优先考虑:检测还是误报调优?”**
## 学习资源
请参阅 `STATUS.md` 获取关于已完成部分与框架级部分的详细组件分解。
请参阅 `STATUS.md` 获取关于已完成部分与框架级部分的详细组件分解。
## 作者
Teohumble - 安全研究与开发 | 安全研究与开发
**项目状态**:研究/作品集 | 项目状态:研究/作品集
**平台**:Windows 11
**构建状态**:干净(Debug + Release) | 构建状态:干净(Debug + Release)
**测试**:已通过 VMware 验证 | 测试:已通过 VMware 验证
**仓库**:https://github.com/teohumble1/avsuite标签:Bash脚本, ETW, Qt6, Windows内核, YARA, 云资产可视化, 本地大模型, 白帽子