简介iMonitor(冰镜 - 终端行为分析系统)【安全分析人员的必备工具】是一款基于iMonitorSDK的终端行为监控分析软件。 提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等场景。 使用说明数据显示冰镜会采集进程的各种行为,从而产生大量的数据,但是使用者只关注部分的数据,怎么才能得到期望的数据呢?
数据过滤通过右键菜单可以快速设置过滤规则,如果需要更加复杂的匹配,可以在过滤工具栏选择条件匹配的方式(具体支持的匹配条件可以参考软件)。 数据分组在大量数据的场景,经常需要对数据做统计、或者过滤掉相同的数据,这时候就需要用到分组功能了。 通过分组规则新建分组,切换到对应分组后,数据将按分组的聚集显示,重复的数据直接合并(个数可以通过GroupCount显示)。 定制显示列默认显示的列是固定的,如果需要显示更多的列,可以在列--右键--选择列,打开选择列对话框。 列分为公共列和具体事件字段列两种。把需要显示的列拖动到右侧确定后就可以在界面显示了,如果需要修改重命名列的名称,只要双击就可以修改。 如果需要自己定制添加一列,可以通过脚本、或者插件来扩展,详细参考后面的功能扩展部分。 工作区针对一个分析场景,设置好了过滤规则、显示列后,如果后续仍然需要相同的条件,可以通过新建工作区的方式来保存。 只要切换到相应的工作区,马上就可以切换一种分析场景。 除了自己建立工作区,还支持共享工作区,可以通过共享工作区下载到其他人分享的工作区。 其他功能快照功能: 数据不支持排序,如果需要排序功能,可以通过拍摄快照的方式 背景颜色:根据不同的事件设置不同的背景颜色 iDefender:监控到的事件都可以通过iDefender来拦截 进程树:显示所有启动过的进程 进程分析:可以分析进程加载动态库的过程,判断是否存在镜像挟持漏洞 网络分析:访问的网络地址,可以自动解析出域名、区域
更多的功能可以自己摸索。 功能扩展冰镜支持通过插件、脚本两种方式来扩展能力。详细参考: 软件截图更多截图可以通过主页查看
[size=1.75em]软件下载
| 
发表于 2023-4-2 22:25:34
楼主