🌟 前言:为什么用C++做反病毒工具?

在信息安全领域,C++因其高性能、底层系统访问能力和跨平台特性,成为开发杀毒软件、防火墙等安全产品的首选语言。虽然现代杀毒引擎通常由内核驱动和AI模型构成,但其核心扫描模块大多基于C/C++实现。

本文将带你从零开始,使用 C++17 + STL + Filesystem 构建一个具备基础查杀能力的“智能”木马识别终端。虽然它不能替代卡巴斯基或360,但它是一个绝佳的学习原型,帮助你理解杀毒软件的基本原理。

⚠️ 重要声明:本项目为教学演示用途,仅通过哈希匹配检测已知样本,不具备真实防护能力,请勿用于生产环境!

🧩 一、项目功能概览

我们即将构建的“智能终端”具备以下功能:

功能 说明
📁 目录递归扫描 支持扫描指定路径下的所有可执行文件
🔐 文件哈希计算 使用SHA-1模拟算法生成文件指纹
🛡️ 恶意特征库比对 内置“已知木马哈希”数据库进行匹配
💬 终端交互界面 支持 scan <path>exit 命令
🧱 模块化设计 分离文件扫描、哈希计算、数据库管理

✅ 技术栈:C++17、STL、<filesystem>、面向对象编程

🗂️ 二、项目结构设计

AntivirusTerminal/
├── main.cpp              // 主程序入口
├── FileScanner.h/cpp     // 文件扫描与分析
├── HashUtil.h/cpp        // 哈希计算工具(模拟)
├── VirusDatabase.h/cpp   // 恶意哈希数据库管理
├── TerminalUI.h/cpp      // 终端用户交互界面
└── README.md             // 项目说明(可选)

🛠️ 三、核心模块详解

1. HashUtil.h/cpp —— 文件哈希计算器

杀毒软件的第一步是为文件生成唯一“指纹”。我们使用 SHA-1 哈希值作为文件标识。

HashUtil.h
#pragma once
#include <string>

class HashUtil {
public:
    /**
     * 计算文件的SHA-1哈希值(简化版)
     * @param filepath 文件路径
     * @return 十六进制字符串格式的哈希值
     */
    static std::string computeSHA1(const std::string& filepath);
};
HashUtil.cpp
#include "HashUtil.h"
#include <fstream>
#include <sstream>
#include <iomanip>
#include <functional>

std::string HashUtil::computeSHA1(const std::string& filepath) {
    std::ifstream file(filepath, std::ios::binary);
    if (!file.is_open()) return "ERROR";

    std::stringstream buffer;
    buffer << file.rdbuf();
    std::string content = buffer.str();

    // ⚠️ 注意:这是简化模拟,非真实SHA-1
    // 实际项目建议集成 OpenSSL 或 Crypto++
    std::hash<std::string> hasher;
    size_t hash = hasher(content); // 使用std::hash模拟
    std::stringstream ss;
    ss << std::hex << std::setfill('0') << std::setw(16) << hash;
    return ss.str();
}

💡 扩展建议:替换为 OpenSSL 的 SHA1() 函数 以获得真实哈希。

2. VirusDatabase.h/cpp —— 恶意特征数据库

存储已知木马文件的哈希签名。

VirusDatabase.h
#pragma once
#include <unordered_set>
#include <string>

class VirusDatabase {
private:
    std::unordered_set<std::string> malwareHashes; // 快速查找

public:
    VirusDatabase();                          // 初始化内置特征
    bool isMalicious(const std::string& hash); // 判断是否为恶意文件
    void addSignature(const std::string& hash); // 添加新特征(可用于更新)
    size_t size() const;                      // 当前特征数量
};
VirusDatabase.cpp
#include "VirusDatabase.h"

VirusDatabase::VirusDatabase() {
    // 示例哈希(实际中从文件或网络加载)
    malwareHashes = {
        "1a79a4d60de6718e8e5b326e338ae533", // 模拟木马1
        "6b86b273ff34fce19d6b804eff5a3f57", // 模拟木马2
        "d4735e3a265e16eee03f59718b9b5d03"  // 模拟木马3
    };
}

bool VirusDatabase::isMalicious(const std::string& hash) {
    return malwareHashes.find(hash) != malwareHashes.end();
}

void VirusDatabase::addSignature(const std::string& hash) {
    malwareHashes.insert(hash);
}

size_t VirusDatabase::size() const {
    return malwareHashes.size();
}

🔄 升级思路:支持从 signatures.txt 文件动态加载特征库。

3. FileScanner.h/cpp —— 文件扫描引擎

负责遍历目录、筛选可执行文件并调用分析逻辑。

FileScanner.h
#pragma once
#include <string>
#include <vector>

class FileScanner {
public:
    static std::vector<std::string> scanDirectory(const std::string& path);
    static bool isExecutable(const std::string& filename);
    static void analyzeFile(const std::string& filepath, class VirusDatabase& db);
};
FileScanner.cpp
#include "FileScanner.h"
#include "HashUtil.h"
#include "VirusDatabase.h"
#include <iostream>
#include <filesystem>

namespace fs = std::filesystem;

std::vector<std::string> FileScanner::scanDirectory(const std::string& path) {
    std::vector<std::string> files;
    try {
        for (const auto& entry : fs::recursive_directory_iterator(path)) {
            if (entry.is_regular_file() && 
                isExecutable(entry.path().filename().string())) {
                files.push_back(entry.path().string());
            }
        }
    } catch (const std::exception& e) {
        std::cerr << "❌ 目录访问失败: " << e.what() << std::endl;
    }
    return files;
}

bool FileScanner::isExecutable(const std::string& filename) {
    std::string ext = filename.substr(filename.find_last_of('.') + 1);
    return (ext == "exe" || ext == "dll" || ext == "scr" || ext == "bat");
}

void FileScanner::analyzeFile(const std::string& filepath, VirusDatabase& db) {
    std::cout << "🔍 扫描文件: " << filepath << std::endl;
    std::string hash = HashUtil::computeSHA1(filepath);
    
    if (hash == "ERROR") {
        std::cout << "  -> ⚠️  文件读取失败\n";
        return;
    }

    if (db.isMalicious(hash)) {
        std::cout << "  -> ⚠️  🦠 发现木马! (哈希: " << hash << ")\n";
    } else {
        std::cout << "  -> ✅ 安全 (哈希: " << hash << ")\n";
    }
}

4. TerminalUI.h/cpp —— 智能终端交互

提供命令行界面,支持用户输入指令。

TerminalUI.h
#pragma once
#include <string>

class TerminalUI {
public:
    void run(); // 启动终端主循环
};
TerminalUI.cpp
#include "TerminalUI.h"
#include "FileScanner.h"
#include "VirusDatabase.h"
#include <iostream>
#include <thread>
#include <chrono>

void TerminalUI::run() {
    VirusDatabase db;
    std::cout << "\n🛡️  【简易反病毒终端 v0.1】\n";
    std::cout << "💡 输入 'scan <路径>' 开始扫描,'exit' 退出\n\n";

    std::string command, path;
    while (true) {
        std::cout << ">> ";
        std::getline(std::cin, command);

        if (command == "exit") {
            std::cout << "👋 感谢使用,再见!\n";
            break;
        }

        if (command.substr(0, 5) == "scan ") {
            path = command.substr(5);
            std::cout << "🔎 正在扫描路径: " << path << "\n";

            auto files = FileScanner::scanDirectory(path);
            std::cout << "📁 找到 " << files.size() << " 个可执行文件。\n\n";

            for (const auto& file : files) {
                FileScanner::analyzeFile(file, db);
                std::this_thread::sleep_for(std::chrono::milliseconds(10)); // 模拟耗时
            }
            std::cout << "\n✅ 扫描完成。\n\n";
        } else {
            std::cout << "⚠️  未知命令。请输入 'scan <路径>' 或 'exit'\n";
        }
    }
}

5. main.cpp —— 程序入口

#include "TerminalUI.h"

int main() {
    TerminalUI terminal;
    terminal.run();
    return 0;
}

🎯 四、编译与运行

1. 编译命令(Linux/macOS)

g++ -std=c++17 main.cpp FileScanner.cpp HashUtil.cpp \
VirusDatabase.cpp TerminalUI.cpp -o antivirus

2. Windows(Visual Studio)

  • 创建空C++项目
  • 添加所有 .cpp.h 文件
  • 确保启用 /std:c++17

3. 运行示例

./antivirus
>> scan ./test_samples
🔎 正在扫描路径: ./test_samples
📁 找到 2 个可执行文件。

🔍 扫描文件: ./test_samples/virus.exe
  -> ⚠️  🦠 发现木马! (哈希: 1a79a4d60de6718e8e5b326e338ae533)
🔍 扫描文件: ./test_samples/normal.exe
  -> ✅ 安全 (哈希: abc123...)

✅ 扫描完成。

🔮 五、如何让它更“智能”?—— 进阶方向

当前版本仅为静态哈希匹配,真正的“智能”需引入更多技术:

升级方向 技术方案
🤖 AI模型检测 集成 ONNX Runtime,加载PyTorch/TensorFlow训练的PE文件分类模型
🔍 行为监控 使用 Windows API 监控进程创建、注册表修改
🧩 YARA规则 集成 YARA引擎 匹配二进制模式
☁️ 云查杀 调用 VirusTotal API 进行在线查毒
🕵️‍♂️ 启发式分析 分析导入表、节区熵、API调用序列等特征

✅ 六、总结

我们成功用不到500行C++代码,构建了一个具备基本查杀能力的反病毒终端原型。它展示了:

  • ✅ C++17 的 <filesystem> 实现目录遍历
  • ✅ 模块化设计思想
  • ✅ 哈希匹配查杀原理
  • ✅ 命令行交互实现

💬 互动区

如果你希望我继续扩展这个项目,比如:

  • ✅ 添加图形界面(Qt)
  • ✅ 集成YARA规则引擎
  • ✅ 实现VirusTotal API调用
  • ✅ 加入机器学习模型检测

欢迎在评论区留言!点赞过100立即更新下一章!

👍 觉得有收获?别忘了点赞+收藏+关注!
🔔 更新通知不迷路!

# c++ # 开发语言
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

cover

产品经理入门指南:从互联网原理到大模型思维的全面解析

avatar 2048 AI社区

90%企业的私域焦虑:企业微信+企业微信AI SCRM解决方案(附案例数据)

【摘要】当前企业私域运营普遍面临三大痛点:客户留存难、社群活跃低、销售跟进慢。微盛AI·企微管家通过"AI标签+智能社群+客户画像"的解决方案,帮助企业实现精准运营:1)建立双重标签体系,实现客户需求精准识别;2)通过直播+积分+AI质检激活沉默社群;3)可视化客户行为轨迹,提升销售跟进效率。500强企业实践显示,该方案可使客户响应时间缩短50%,转化率提升40%。需注意三大避

avatar 2048 AI社区
cover

在专家主导的行业中,AI 的真正价值是“知识压缩”而非“智能替代”

avatar 2048 AI社区