添加沙箱功能和API钩子支持

- 在沙箱中实现了新的功能，包括内存分配和API钩子初始化 - 更新了沙箱类，增加了对WFP引擎的支持 - 添加了多个API的实现，如GetLastError、InitializeCriticalSection等 - 修改了主函数以使用新的沙箱功能，替换了恶意软件扫描功能 - 更新了项目文件以包含新的源文件和API实现 - 改进了错误处理和日志记录功能
2025-03-18 20:49:18 +08:00
parent 4f3f4c7205
commit 534b6a84a6
15 changed files with 2443 additions and 754 deletions
--- a/ai_anti_malware/ai_anti_malware.cpp
+++ b/ai_anti_malware/ai_anti_malware.cpp
@@ -39,6 +39,7 @@ auto getPeInfo(std::string inputFilePath) -> std::shared_ptr<BasicPeInfo> {
        sampleInfo->RecImageBase +
        (sampleInfo->isX64 ? sampleInfo->ntHead64->OptionalHeader.SizeOfImage
                           : sampleInfo->ntHead32->OptionalHeader.SizeOfImage);
+    sampleInfo->isDll = peconv::is_module_dll((BYTE*)sampleInfo->peBuffer);
    printf("Debug - Memory mapping parameters:\n");
    printf("RecImageBase: 0x%llx\n", sampleInfo->RecImageBase);
    printf("peSize: 0x%llx\n", sampleInfo->peSize);
@@ -310,9 +311,29 @@ auto doMalwareScan(int argc, char* argv[]) -> void {
    auto sampleType = scanner.DetectMalware(filePath);
    printf("sample type: %d \n", sampleType);
 }
+int doSandbox(int argc, char* argv[]) {
+    /*
+    if (argc < 3) {
+        std::cout << "用法: " << argv[0] << " <文件路径> <地址>" << std::endl;
+        return;
+    }
+    std::string filePath = argv[1];
+    */
+    std::string filePath = "C:\\mso.dll";
+
+    auto peInfo = getPeInfo(filePath);
+    if (peInfo == nullptr) {
+        return 0;
+    }
+    Sandbox se;
+    se.InitEnv(peInfo);
+    se.Run(0x180003980);
+    return 0;
+}
 int main(int argc, char* argv[]) {
    // doMl(argc, argv);
    // doPredict(argc, argv);
-    doMalwareScan(argc, argv);
+    // doMalwareScan(argc, argv);
+    doSandbox(argc, argv);
    return 0;
 }