简介

iMonitor（冰镜 - 终端行为分析系统）【安全分析人员的必备工具】是一款基于iMonitorSDK的终端行为监控分析软件。

提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本，可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测，EDR等场景。

使用说明

数据显示

冰镜会采集进程的各种行为，从而产生大量的数据，但是使用者只关注部分的数据，怎么才能得到期望的数据呢？

数据过滤

通过右键菜单可以快速设置过滤规则，如果需要更加复杂的匹配，可以在过滤工具栏选择条件匹配的方式（具体支持的匹配条件可以参考软件）。

数据分组

在大量数据的场景，经常需要对数据做统计、或者过滤掉相同的数据，这时候就需要用到分组功能了。

通过分组规则新建分组，切换到对应分组后，数据将按分组的聚集显示，重复的数据直接合并（个数可以通过GroupCount显示）。

定制显示列

默认显示的列是固定的，如果需要显示更多的列，可以在列--右键--选择列，打开选择列对话框。

列分为公共列和具体事件字段列两种。把需要显示的列拖动到右侧确定后就可以在界面显示了，如果需要修改重命名列的名称，只要双击就可以修改。

如果需要自己定制添加一列，可以通过脚本、或者插件来扩展，详细参考后面的功能扩展部分。

工作区

针对一个分析场景，设置好了过滤规则、显示列后，如果后续仍然需要相同的条件，可以通过新建工作区的方式来保存。

只要切换到相应的工作区，马上就可以切换一种分析场景。

除了自己建立工作区，还支持共享工作区，可以通过共享工作区下载到其他人分享的工作区。

其他功能

• 快照功能： 数据不支持排序，如果需要排序功能，可以通过拍摄快照的方式
• 背景颜色：根据不同的事件设置不同的背景颜色
• iDefender：监控到的事件都可以通过iDefender来拦截
• 进程树：显示所有启动过的进程
• 进程分析：可以分析进程加载动态库的过程，判断是否存在镜像挟持漏洞
• 网络分析：访问的网络地址，可以自动解析出域名、区域

更多的功能可以自己摸索。

功能扩展

冰镜支持通过插件、脚本两种方式来扩展能力。详细参考：

插件开发指南： https://imonitorsdk.com/imonitor/plugin

脚本开发指南： https://imonitorsdk.com/imonitor/script

软件截图

版本更新（2.5.0）

• 工作区添加联网共享工作区支持
• 可以从共享工作区下载到其他人分享的工作区，一键切换快速实现具体场景的分析

共享工作区的支持大大降低了软件分析地使用门槛，只要切换到对应的工作区，马上可以直观的看到需要的数据。

软件下载

https://imonitorsdk.com/imonitor