简介
iMonitor(冰镜 - 终端行为分析系统)【安全分析人员的必备工具】是一款基于iMonitorSDK的终端行为监控分析软件 。
提供了对进程、文件、注册表、网络等系统行为的监控 。支持扩展和脚本,可以轻易定制和添加更多功能 。可以用于病毒分析、软件逆向、入侵检测,EDR等场景 。
文章插图
使用说明 数据显示
冰镜会采集进程的各种行为,从而产生大量的数据,但是使用者只关注部分的数据,怎么才能得到期望的数据呢?数据过滤
通过右键菜单可以快速设置过滤规则,如果需要更加复杂的匹配,可以在过滤工具栏选择条件匹配的方式(具体支持的匹配条件可以参考软件) 。
文章插图
数据分组
在大量数据的场景,经常需要对数据做统计、或者过滤掉相同的数据,这时候就需要用到分组功能了 。
通过分组规则新建分组,切换到对应分组后,数据将按分组的聚集显示,重复的数据直接合并(个数可以通过GroupCount显示) 。
文章插图
定制显示列
默认显示的列是固定的,如果需要显示更多的列,可以在列--右键--选择列,打开选择列对话框 。
列分为公共列和具体事件字段列两种 。把需要显示的列拖动到右侧确定后就可以在界面显示了,如果需要修改重命名列的名称,只要双击就可以修改 。
如果需要自己定制添加一列,可以通过脚本、或者插件来扩展,详细参考后面的功能扩展部分 。
文章插图
工作区
针对一个分析场景,设置好了过滤规则、显示列后,如果后续仍然需要相同的条件,可以通过新建工作区的方式来保存 。
只要切换到相应的工作区,马上就可以切换一种分析场景 。
除了自己建立工作区,还支持共享工作区,可以通过共享工作区下载到其他人分享的工作区 。
文章插图
其他功能
- 快照功能: 数据不支持排序,如果需要排序功能,可以通过拍摄快照的方式
- 背景颜色:根据不同的事件设置不同的背景颜色
- iDefender:监控到的事件都可以通过iDefender来拦截
- 进程树:显示所有启动过的进程
- 进程分析:可以分析进程加载动态库的过程,判断是否存在镜像挟持漏洞
- 网络分析:访问的网络地址,可以自动解析出域名、区域
更多的功能可以自己摸索 。
功能扩展
冰镜支持通过插件、脚本两种方式来扩展能力 。详细参考:
插件开发指南: https://imonitorsdk.com/imonitor/plugin
脚本开发指南: https://imonitorsdk.com/imonitor/script
软件截图
文章插图
文章插图
文章插图
文章插图
推荐阅读
- 徐峥|又来大瓜!徐峥被多人实名举报偷税漏税,王宝强高叶或被牵连
- |官宣强强联合!肖战与女顶流宣传海报出炉,将要共赴剧组拍戏
- 凯文·加内特|加内特列出了自己职业生涯搭档过的队友,组成的最强五人阵容
- 潘粤明|嗜赌、家暴、丧失X功能,都这样了还甘当舔狗
- 杨洋|娱乐大爆料:杨洋、李沁、白敬亭宋轶、宋茜、程潇、王宝强
- 德鲁伊|外媒评《暗黑4》公测职业强度:法师亲儿子 德鲁伊最弱
- 马蓉|马蓉带儿女回陕西玩,一头金发似精神小妹,和王宝强轮流带娃
- 胡歌|胡歌早期言论,妻子上位史被翻出,结婚怀疑是老丈人强迫
- 杨幂|36岁杨幂红发造型曝光,精修与未修图差距大,头发稀松还在强撑少女感
- 谢娜|谢娜暴瘦20斤回归综艺!波浪卷大红唇气场强,宁静被惊艳看呆