因为需要强力对付流氓软件以及获取系统底层信息所以在系统管理器中集成了一枚驱动.其信息如下:

1. 驱动程序安装在 System32/drivers目录下. 文件名为sysmon.sys
2. 删除sysmon.sys后, 驱动将不再工作, 无任何隐藏的信息. 但注册表有残留的服务信息. 可手动删除
3. 驱动程序包含了数字签名
4. 驱动功能如下:
  • 枚举系统句柄表
  • 在传输层枚举网络连接对象
  • 注册了PsLoadImage和PsCreateProcess两个回调.但目前不做任何事情.
  • 注册了与应用程序通讯的LPC端口.

5. 用户模式通讯的命令有
  • 系统信息查询,如CPU使用率,内存使用等
  • 进程句柄信息查询. 暂未使用
  • 网络连接查询, 枚举所有监听以及活动链接,
  • 网络信息查询,统计流量信息
  • 网络进程拦截, 拦截进程的所有网络请求
  • 网络链接拦截, 关闭指定的链接通讯
  • 网络协议拦截. 拦截指定的协议通讯
  • 卸载一个进程. 通过Unload和attach方式拦截进程.

6. 接口源文件公开
sysmapi.h (8.85 KB, 下载次数: 0, 售价: 5 个绿豆)

7. 风险说明
由于公开了内核接口, 可能导致其他第三方恶意软件的利用.
官方开发组将在后续版本中,使用密钥机制来确保可信的使用内核接口来提高安全性
目前开放的内核接口,仅支持licom通讯技术

8. 内核监管.
所有内核功能都将在此贴进行阐述并答疑. 并且保证与其他安全软件检测的结果一致.保证不添加任何故意侵犯用户隐私的功能与代码.不将用户本地信息传输到任何互联网上.并且保证后续版本不在任何用户不知晓的情况下升级以及运行.

您需要登录后才可以回帖 登录 | 获取账号

Archiver|Rerede.com     

GMT+8, 2017-3-28 00:21

Powered by R-Team X2

© 2011-2012 Rerede.com.

回顶部