docs/README.md

@@ -0,0 +1,21 @@
+# 项目文档
+
+此目录用于记录本项目的各类文档，如用法文档、思路文档、技术文档等。
+
+## 文件结构
+
+- **usage.md**: 该文件包含了项目的使用文档，详细说明了如何安装、配置和使用本项目。
+- **design.md**: 该文件记录了项目的设计思路，包括架构设计、模块划分等内容。
+- **tech_notes.md**: 该文件包含了技术文档，记录了项目中涉及的技术细节、解决方案和实现方法等。
+
+## 使用方法
+
+请参阅 **[usage.md](./usage.md)** 获取关于如何使用本项目的详细信息。
+
+## 设计思路
+
+初步的实现方案记录在 **[idea.md](./idea.md)** 文件中，实际采用的详细设计思路记录在 `design.md` 文件中。
+
+## 技术文档
+
+项目的技术文档可以在 **[tech_notes.md](./tech_notes.md)** 中找到，其中包含了项目中所用技术的详细说明和相关资料。

docs/idea.md

@@ -0,0 +1,31 @@
+# 设计方案
+
+## 静态代码分析
+
+检查源代码的结构、语法和意图而不执行代码。通过这种方式，可以发现安全漏洞和后门的迹象，比如隐藏的函数、异常的API调用、敏感信息的硬编码等。
+
+工具开发：使用正则表达式和模式匹配来搜索代码中的可疑结构或者片段。
+
+## 控制流分析
+
+通过分析程序的控制流（即程序中各个操作的执行顺序），可以检测到异常的控制流路径，这些路径可能是后门的迹象。
+
+实现方法：检测代码中是否含有不可达的分支，如果有，则检测是否包含恶意代码，并根据威胁程度划分危险等级。
+
+## 依赖分析
+
+分析代码库中的依赖关系，确保所有外部库和包都是可信的，并且没有引入可能含有后门的恶意代码。
+
+实施策略：开发脚本或工具来自动化检查外部库的可信度和更新记录。
+
+## 异常行为检测
+
+通过定义“正常”代码行为的基线，可以标识出异常行为，这些异常行为可能指示着后门的存在。
+
+行为模型：创建机器学习模型来学习代码的正常模式和行为，然后识别偏离这些模式的行为。
+
+## 基于NLP的后门检测
+
+使用NLP技术来训练机器学习模型，以自动从大量代码中学习和识别异常或潜在的后门模式。
+
+开发方法：采用深度学习框架如TensorFlow或PyTorch，结合NLP处理工具，训练模型识别代码中的异常行为。