为什么选择iMonitorSDK
专业 高效 稳定 iMonitorSDK是冰镜安全团队凭借二十年安全底层开发经验、卓越的架构设计能力,以及对安全业务的深度理解倾力打造而成
- 丰富的监控能力
- 支持进程、文件、注册表、网络、系统行为等上百种事件的采集和防御能力
- 良好的兼容性
- 使用标准规范实现方式,通过微软WHQL认证,兼容性好,同时支持XP到Win11的所有系统
- 强大的规则引擎
- 内置应用层和内核两个规则引擎,可以快速实现事件过滤或者防御功能.
- 开箱即用
- 提供了40多种不同场景的使用示例,轻松接入
- 稳定可靠
- 冰盾主动防御、冰镜终端行为分析等多款成熟稳定产品都是基于SDK实现,品质有保证
- 遥遥领先
- 提供了异步采集、同步防御、文件隐藏、自保护、沙箱、防火墙、流量代理、HTTPS解析等多种强大能力
适用场景
- 终端检测与响应(EDR)
- 覆盖ATT&CK行为检测所需要的全部事件的采集,还支持各种远程调用溯源和断链跟踪
- 主动防御(HIPS)
- 可以实时对进程恶意行为进行检测和拦截,轻松应对无文件攻击等高级威胁
- 上网行为管理
- 内置HTTP、HTTPS解析和拦截,可以实现上网行为管理和安全防护
- 零信任
- 支持流量重定向,网络管控和安全防护
- 终端管控
- 支持进程、文件、注册表、网络、外设等多种行为管控
- 主机安全
- 轻量级防火墙,支持多种协议和端口的防护
使用示例
实现一个与sysmon类似效果的功能
class MonitorCallback : public IMonitorCallback
{
public:
void OnCallback(IMonitorMessage* msg) override
{
printf("%S ==> %S\n", msg->GetTypeName(), msg->GetFormatedString(emMSGFieldCurrentProcessPath));
for (ULONG i = emMSGFieldCurrentProcessCommandline; i < msg->GetFieldCount(); i++) {
printf("\t%30S : %-30S\n", msg->GetFieldName(i), msg->GetFormatedString(i));
}
}
};
int main()
{
MonitorManager manager;
MonitorCallback callback;
HRESULT hr = manager.Start(&callback);
CheckSignError(hr);
if (hr != S_OK) {
printf("start failed = %08X\n", hr);
return 0;
}
cxMSGUserSetMSGConfig config;
for (int i = 0; i < emMSGMax; i++) {
config.Config[i] = emMSGConfigPost;
}
manager.InControl(config);
WaitForExit("");
return 0;
}
典型应用
iMonitor 冰镜终端行为分析系统
一款提供了对进程、文件、注册表、网络等系统行为进行实时监控工具,可以用于病毒分析、软件逆向、入侵检测,EDR等
授权方式
仅支持审核通过的正规企业申请,严禁用于非法用途,授权通过微信或邮件沟通申请。