iMonitor(冰镜 · 终端行为分析系统)【安全分析人员的必备工具】是一款基于iMonitorSDK的终端行为监控分析软件。提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等。
主要进行动态行为分析,火绒剑可以进行静态行为分析,可惜现在官方已经下线了。
这里介绍一下iMonitorSDK。
iMonitorSDK 是一款为终端、主机提供系统行为监控的开发套件。旨在帮助终端安全、管控、审计、零信任、主机安全等行业应用可以快速实现必要功能,而不用关心底层驱动的开发、维护和兼容性问题,让其可以专注于业务开发。
针对病毒事件的动态分析还是非常好的,因为可以对应出很多注册表的信息。
可以针对特定事件来进行筛选,粒度很细。
目前冰镜安全团队正在开发一体化办公平台,很期待。
其他他们还有一个冰盾·主动防御系统,但是说实话,实用性相对有限,在一体化办公平台中作用估计可以凸显出来,单纯的做hips作用不大,现在已经过了那个时代。火绒自身就做了很多的规则,这些是锦上添花,让杀毒软件的功能更加完善,要解决终端反病毒还是要靠本地杀毒引擎+云查杀。
