CSafe Antivirus Software(Engine)

介绍

CSafe是一个基于命令行界面的Ring3杀毒软件，支持静态启发和动态行为监控查杀 我们拥有两个自研启发式杀毒引擎，分别为LSProtect(基于导入表)与BITProtect(基于PE文件可识别字符串)，和一个行为监控引擎TOProtect，同时，为了降低误报，我们使用了一个名为WhiteProtect的自研引擎，用于判断目标文件是否安全，用于在引擎体系中检查并驳回LSProtect的查杀判断 启发式引擎大家都见惯了，那么下面是TOProtect动态行为监控引擎的介绍：

  TOProtect拥有两个检测部分，为接触式检测与非接触式检测，接触式检测，顾名思义，就是会与要被检测的目标进程进行交互(在以前的TOProtect中，该部分使用注入实现，现在不再需要注入)，例如需要使用OpenProcess打开目标进程或遍历目标进程的句柄等。非接触式检测就是不直接与目标程序交互，而是检查系统中相关内容的变化，如检查启动项中是否包含被检测程序、被检测程序根目录下是否有风险文件(虽然说这仍然需要OpenProcess函数来获取目标程序的根目录)等等，这些检测条目保证了OpenProcess函数被hook或者权限不足时，该引擎仍然有查杀能力(虽然说微乎甚微约等于没有:P)
  该引擎主要亮点在于针对勒索与蠕虫病毒的查杀部分，我们开发了一个可以获取目标进程正在访问的文件的模块，通过这个模块检查目标进程访问的程序实现行为监控，如，蠕虫会在运行的时候访问不止一个可执行文件，勒索病毒在运行的时候会反复扫描Desktop中的文件等等。

已实现功能

1. 基于三个静态引擎的文件监控(如病毒文件解压杀/下载杀)
2. 基于TOProtect与三个静态引擎的主动防御部分(针对静态引擎可以查杀到的程序，可以实现40ms以内查杀)
3. 基本操作界面与命令行交互界面(详细命令功能与用法请根据发行版界面查询)
4. 速度足够快的隔离区和速度应该挺快的白名单(基于SHA-256)
5. 被调了很多次用来压误报的默认配置和依旧很多很多的误报

版本预告(带"*"号的表示可能不会实现)

1. 实现基于命令行界面的图形界面(实现一个GUI界面，但是提供与杀软命令行操作的接口，同时封装部分杀软的命令为图形化交互)