冰盾 · 主动防御系统
冰盾 · 主动防御系统 【专业不流氓】是一款使用iMonitorSDK 实现,基于场景模式的终端、主机主动防御系统。使用冰盾可以帮助您拦截漏洞攻击、免疫勒索病毒、防御高级威胁、抵制流氓软件、保护隐私安全、提高工作效率。
English
For the English version, please refer to https://idefender.trustsing.com
使用场景
- 文档保护: 防止勒索病毒对您的重要文档进行加密,保护您的数据安全。
- 进程拦截: 拦截流氓软件的恶意行为,保护您的计算机系统不受恶意软件的侵害。
- 主机安全: 提供多层安全防护机制,保护服务器不受黑客攻击和恶意软件的入侵。
- 病毒拦截: 通过云引擎自动拦截病毒,提供实时的病毒拦截和清除功能,保护您的计算机系统不受病毒和恶意软件的感染。
- 隐私保护: 监控并防止流氓软件对您的个人隐私进行窃取和上传,保护您的数据不被非法获取和滥用。
- 联网控制: 监控网络流量,防止个人信息泄露和网络攻击,保护您的个人隐私。
- 上网管理: 通过对上网行为的管理和控制,保障您的网络安全,防止不良信息的侵害。
- 进程守护: 防止恶意程序对进程进行注入和结束,保护系统稳定和安全。
- 安全沙箱: 对未知的程序,可以配置让其在安全沙箱里运行,不会破坏系统。
功能特点
- 支持自定义拦截多种事件,包括进程、文件、注册表、网络访问、消息钩子、远程调用等。
- 内置智能防护、系统优化、安全加固、漏洞防御等默认规则,一键开启防护功能。
- 支持多种规则模板,可以快速添加规则,满足不同的防护需求。
- 支持规则市场,可以从规则市场获得各种场景规则,大大降低使用成本。
- 占用系统资源低,兼容性好,适用于Win7到Win11以及Windows Server系统。
冰盾跟其他HIPS软件的差异
经常有人问,冰盾跟其他的HIPS软件有什么差异,为什么选择冰盾,而不是其他安全软件。
冰盾打破传统基于对象操作的防护模型(比如文件的增、删、改、读等操作防御),采用基于场景模式的创新规则模型(比如禁止进程启动、文档保护、隐私保护),同时设计了基于模板+参数的规则引擎,大大降低了防御规则的编辑难度,同时还提供规则市场,让规则的分享和获取变得触手可及。
在性能上,冰盾规则引擎采用双缓存模式,匹配的效率提升到了极致,在不错误设置规则的情况,对系统几乎没有任何性能消耗。长期运行也不会有任何内存增长或者性能累计消耗,不仅适应于个人电脑,同时也适用于云服务器。
冰盾完全采用微软推荐的标准内核API实现功能,兼容性好,可以跟其他的安全软件很好并存。
软件截图
版本说明
4.6.0.0
- 新增功能
- 添加频繁操作规则(可以用于检测勒索病毒、拦截网络爆破攻击)
- 优化功能
- 全局白名单直接设置进内核,对高级模板(内核模式)也生效
- 优化内核规则引擎的匹配性
- 优化增强防御部分对抗场景
- YARA扫描引擎
- global匹配失败后直接终止匹配
- 签名的逻辑迁移到YARA内部作为插件实现
- 规则编辑过程,对错误的规则实时提醒
- 支持扫描驱动、模块
- 异步扫描支持匹配上后挂起进程
- BUG修复
- 修复错误的YARA规则导致服务崩溃的问题
- 修复其他文档里面反馈的问题
4.5.0.0
- 支持更多功能
- 添加进程创建实时扫描功能(使用YARA规则)
- 添加PowerShell命令执行拦截功能(AMSI)
- 支持更多的拦截点(高级模板)
- 修改文件权限
- 服务停止
- 麦克风访问
- 注销系统
- 跨进程发送消息
- 关闭进程窗口
- 连接跨进程通信端口
- BUG修复
- 修复弹窗默认结束进程无效的问题
- 修复规范目录右键菜单功能异常问题
- 修复记事本拦截不了修改文件的问题
- 修复学习模式对增强防御规则无效的问题
- 修复部分Win7 32位系统蓝屏问题
- 修复其他反馈文档里面的各种问题
4.3.1.0
- 修复一些问题
- 修复部分安全软件导致驱动无法正常安装的问题
- 修复部分安全软件导致的兼容性问题
- 修复弹窗拦截System进程修改某些注册表可能导致卡死的问题
- 修复切换工作区没有清空缓存
- 修复拦截记录切换规则状态无效的问题
- 修复开启资源管理器加固,360桌面助手会一直崩溃重启explorer的问题
- 优化注册表拦截的返回值
- 优化一些界面使用体验
4.3.0.0
- iMonitorSDK
- 添加ICMP扫描监控
- 添加进程保护
- 添加快捷方式解析
- 添加MoveFileEx监控支持(重启删除文件)
- 添加更多截屏支持:覆盖AntiTest
- 修复8.3短路径导致规则匹配失败的问题
- 修复SYSTEM进程被放过的问题
- 共享文件操作监控不到
- 445端口拦截不了
- 功能
- 添加智能防御规则
- 添加学习模式支持
- 添加工作区支持
- 询问弹窗
- 细化文件操作
- 注册表多行字符串显示
- 模板
- 添加常用模板目录
- 重命名文件添加修复后缀名字段
- 添加快捷方式拦截
- 其他
- 优化拦截记录显示
- 添加系统进程伪造内置规则
- 弹窗拦截支持部分子窗口的拦截
- 拦截注册表开启启动项不阻塞正常安装
- 修复部分服务器系统安装失败的问题
- 修复规则覆盖信任列表没有清理的问题
4.2.1.0
- 修复一些问题
- 修复屏幕截图规则模板不生效问题
- 修复conhost.exe误报问题
- 优化镜像注入结束进程逻辑(会同时结束父进程和子进程)
- 去掉一些过期规则
4.2.0.0
主要优化使用体验和BUG修复,重要版本,建议更新!
iMonitorSDK
- 添加进程篡改事件(Process Hollowing、Process Doppelganging、Process Ghosting 等)
- 添加镜像篡改事件 (傀儡进程、内存篡改)
- 添加跨进程模块加载事件
- 优化远程注入(支持识别注入的动态库路径)
- 文件隐藏支持进程白名单
- 进程信息添加原始文件名字段
- 修复自保护导致FontCache打不开被保护进程问题
内置规则
- 添加增强防御忽略名单
- 添加资源管理器加固(可以拦截APC注入到explorer.exe)
- 添加远程线程注入检测(支持识别注入的动态库路径)
- 添加进程文件篡改检测
- 添加远程镜像注入检测
- 添加进程内存篡改检测
- 添加父进程伪造检测
- 修复一些误报
第三方规则
- 精简优化、减少误报
拦截记录
- 日历添加今日按钮
- 支持记住上次调整的宽度
- 拦截记录添加信任进程目标组合
询问弹窗
- 修复信任的命令行取错成数字签名问题
- 优化弹窗速度和位置计算
规则编辑
- 参数支持多选复制
- 修复操作目标拖曳后导致操作丢失的问题
响应动作
- 添加询问(默认结束进程)选项
规则模板
- 添加屏幕截图模板
- 添加设备操作拦截模板(高级规则)
规则市场
- 导入的规则支持增量更新(合并信任列表)
其他
- 添加专业版功能
- 优化启动性能
- 优化规则编辑性能
- 开启密码保护后,退出需要输入密码
修复和优化
修复特定场景下内存泄漏问题
修复开启密码保护,开机会弹密码框的问题
修复参数零宽字符导致匹配失败问题
修复跟360的兼容性问题
修复数据库被锁导致无法正常写入拦截记录的问题
进程创建记录详情里面添加命令行
修复Server2008R2服务管理器列表为空的问题
修复结束进程过程还有对应进程事件的问题
优化Classes注册表项的重定向问题
其他问题修复和使用优化
4.0.1.0
添加键盘记录拦截支持
处置缓存添加主动清除逻辑
修复一些问题
- 优化规则保存性能
- 优化询问阻塞处置缓存逻辑
- 修复系统关机拦截无效的问题
- 修复信任列表匹配到规则后终止选项不生效的问题
- 修复内置注册表规则存在重复问题
- 高级模板(内核模式)去掉信任列表
- 去掉部分过期的规则
4.0.0.0
重大版本更新,建议更新
iMonitorSDK更新到4.0
- 添加内核规则引擎
- 添加文件隐藏支持
- 添加沙箱支持
- 添加RPC调用进程溯源
- 优化部分性能
模板
添加内置规则模板
添加高级模板(内核模式)支持
添加文件隐藏模板
添加轻量级沙箱模板
添加域名查询模板
增强防御
- 添加模拟鼠标键盘监控
- 添加访问剪切板监控
- 添加修改系统时间监控
- 添加关键事件监控
- 添加修改桌面背景监控
- 添加磁盘控制监控
询问弹框
- 添加签名信息显示
- 添加事件自定义
- 弹框响应记录支持缓存(默认1分钟相同事件不提醒,可以设置里面修改)
拦截记录
- 添加分页支持
信任列表
- 支持参数组
优化
- 优化规则参数设置
- 废弃部分过期的模板
- 优化内核进程列表性能
- 添加Image挟持保护
- 增强自保护逻辑
- 添加远程调用溯源(服务创建、驱动加载、任务计划、用户创建、DNS查询等可以定位到来源)
- 添加内核级别的规则设置
- 添加WMI进程创建监控
- 规则组支持剪切板导入
- 参数支持拖曳移动位置
修复
- 添加网络过滤驱动的兼容性
- 优化HKEY_CLASSES_ROOT重定向问题
- 修复端口防火墙弹框信任错误
3.5.1.0
- BUGFIX
- 修复Win11开启BypassIO异常的问题
- 修复360导致的异常问题
- 修复某些环境网络防火墙异常的问题
3.5.0.0
iMonitorSDK 升级到最新版本,支持更多监控功能
- 读取其他进程内存 (ReadProcessMemory)
- 修改其他进程线程上下文 (SetContextThread)
- 插入异步过程调用到其他进程 (QueueApcThread)
- 映射内存到其他进程(MapViewOfSection)
- 复制其他进程的句柄 (DuplicateHandle)
增强模板新增功能
- 禁止插入异步过程调用到其他进程
- 禁止修改其他进程的线程上下文
- 禁止映射内存到其他进程
- 禁止复制其他进程句柄
- 禁止读取其他进程内存
安全加固新增功能
- 支持对重复加载ntdll模块的监控
企业模板新增功能
- 外设管控 (支持移动存储、便携设备、各类设备的管控功能)
功能优化
- 拦截记录支持开关控制,可以设置不记录事件
- 密码输入框打开的时候默认激活输入框
3.4.0.0
企业版需求
3.3.1.0
- BUGFIX
- 修复导出规则带参数组时,存在多级目录的规则不生效问题
- 修复导致某些版本的KMPlayer无法正常播放问题
3.3.0.0
iMonitorSDK
- 更新到3.3版本
- 优化动态模块注入
首页概况
- 添加 “增强防御” 功能
规则模板
- 添加磁盘命令监控事件(需要使用高级模板)
- 添加“增强模板”
- 禁止调用COM对象
- 禁止远程创建进程
- 禁止跨进程写内存
- 禁止创建服务
- 进程启动服务
- 禁止设置全局钩子
- 禁止设置键盘钩子
规则导出
- 支持导出参数组
工具箱
- 添加 “软件管家” 工具
3.2.1.0
- 缩放设置支持选择不同的缩放比例
- 修复信任列表编辑界面无法修改分组内的规则信任条件
3.2.0.0
- 重新整理了默认规则
- 添加设置界面
- 支持设置适配电脑缩放
- 原来询问弹窗的设置项迁移到了设置界面
- 工具箱
- 添加 “服务管理” 工具
- 优化一些使用体验的问题
3.1.0.0
极大优化了使用体验,建议升级!
iMonitorSDK
- 支持文件重定向功能
规则列表
- 添加规则组功能 (极大优化了使用体验)
- 优化规则多导致规则列表卡的问题
规则编辑
- 规则参数添加个数提醒,方便知道哪些是有参数的
- 优化规则编辑打开慢的问题
询问弹框
- 优化了弹框逻辑
- 进程、目标支持快捷菜单
- 支持”不再提醒“选项
- 支持修改默认超时时间
- 修复极端情况导致的崩溃问题
- 修复被其他进程发送WM_CLOSE结束的问题
模板
- 注册表模板支持键值组合参数
- 修复桌面快捷方式保护导致频繁弹框的问题
- 添加新的模板:文件重定向
其他
- 优化了一些使用体验差的问题
3.0.0.0
重大版本更新,建议升级!
- iMonitorSDK
- 更新SDK到最新的版本
- 加载模块、加载驱动添加字段:模块MD5、模块签名证书、模块签名证书指纹
- 修复IPv6网络重定向失败的问题
- 修复127.0.0.1解析到其他域名的问题
- 询问对话框
- 支持更多的快捷操作
- 添加操作面板
- 支持手动编辑信任(拦截)的参数
- 支持添加过期时间(临时规则)
- 添加支持显示到右下角
- 优化Model问题,解决弹框的时候无法编辑规则、或者编辑规则的时候无法点击弹框
- 拦截记录
- 支持多选复杂多条记录
- 支持询问弹框后的允许事件记录
- 修复清理记录弹框确认没有效果的问题
- 规则列表
- 优先级支持下拉选择
- 规则模板选择
- 优化模板的分类
- 规则编辑
- 调整参数成Tab标签页显示
- 添加信任列表快捷编辑标签
- 信任列表添加选项:允许选择匹配到信任后直接终止匹配,不再继续匹配下一条规则
- 规则参数
- 优化部分输入参数的校验(比如不支持通配符的文件名经常输入了通配符)
- 规则响应:“弹框”字样修改成“询问”
- 组管理
- 新增加组管理功能,不同规则复用的相同字段可以使用组来管理
- 规则参数允许插入组
- 规则导出的时候,如果存在分组,会直接展开,不会导出分组
- 信任列表
- 添加搜索支持
- 添加更多类型的规则条件
- 支持显示临时(过期)规则
- 规则市场
- 优化规则市场下载后的弹框提醒(直接关闭后不再继续添加规则)
- 模板
- 拦截驱动加载模板
- 添加更多参数(驱动MD5、签名、证书指纹)
- 高级模板
- 支持选择多个事件
- 支持拖曳(匹配条件可以拖曳到其他集合里面)
- 操作模板
- 去掉允许,添加忽略、信任
- 修复某些情况渲染后参数不对的问题
- 拦截驱动加载模板
2.9.3.0
- 修复拦截文件修改的时候,创建存在的目录导致误弹框的问题
2.9.2.0
- 更新iMonitorSDK到最新的版本
- 修复极端场景导致蓝屏问题
- 驱动兼容Verifier的默认选项测试
2.9.1.0
- 优化通配符 < 的表示:表示除了反斜杠\外的任意字符,用于表示当前目录但是不包括子目录
- 修复某些场景规则优先级无效的问题
2.9.0.0
更新iMonitorSDK到最新版本
添加监控扩展,允许自定义的监控接入规则引擎
- 添加弹窗监控支持
通配符支持 < (表示当前目录,但是不包括子目录)
优化拦截网络连接后,仍然死循环connect导致大量拦截的问题
优化使用体验
- 规则的参数输入支持双击编辑
- 添加规则参数一些使用说明(在规则编辑右上角:通配符、环境变量)
模板更新
- 添加“弹窗拦截”模板
- 高级模板网络端口添加主机序字段
修复一些问题
- 拦截到大量事件导致缓存占用内存多的问题
- 修复一些软件死循环尝试连接网络被拦截后导致内存一直增长的问题
2.8.1.0
更新iMonitorSDK到最新版本
- 添加IOCTL_SCSI_PASS_THROUGH_DIRECT的拦截支持
- 添加创建计划任务的拦截支持
- 添加注册表监控的值内容类型识别(可以根据类型转换成DWORD、STRING)
- 修复跟西门子某软件冲突的问题
- 修复本地回环网络监控异常的问题
- 修复某些场景DNS解析失败的问题
优化使用
- 规则市场双击后直接打开编辑界面,确定后才添加规则,取消则不添加,方便查看规则内容
- 导入规则的时候,判断是否存在相同的规则(规则ID、规则名一样),如果是则提示是否覆盖
模板更新
- 添加“禁止创建计划任务”模板
2.8.0.0
重要版本,建议更新
更新iMonitorSDK到最新版本
- 去掉没有文档化的AFD驱动监控,网络监控都使用WFP框架实现
- 添加ICMP拦截支持
接入iFoundation冰塔快速开发框架
- 支持模块化升级:少量的修改直接通过模块升级自动更新,不需要再频繁手动升级了
- 支持企业管理能力(企业管理后台会在3.0版本正式上线)
- 支持统一管理
- 支持策略下发
- 支持功能扩展、定制、二次开发、系统集成
添加工具箱
- 冰镜终端行为分析系统
- 冰鉴软件行为分析系统
- 冰云安全U盘
- 冰刃进程强杀、文件强删
添加微信交流群(在关于冰盾页面可以获取二维码)
修复一些问题
- 修复快速查找大小写敏感的问题
- 修复导入规则的信任列表部分场景导入失败的问题
- 修复信任列表多个规则匹配不生效的问题
优化其他一些使用体验
2.7.0.0
添加易用性、稳定性,建议更新
更新SDK到最新的版本
- 文件的读写添加首次事件通知
- 过滤掉命名管道的读写请求
- 规则引擎优化
去掉只读文件监控开关
- 隐私保护换成读取文件、文件映射事件
导出规则、导入规则、分享规则添加信任列表的导出导入
优化开机启动的逻辑,添加注册表开机启动项
模板更新(支持经典模式:新建、修改、删除、读取等概念)
- 添加全能模板
- 添加进程行为模板
- 添加文件行为模板
- 添加注册表行为模板
- 添加网络行为模板
其他
- 修复数据库一些操作异常
- 修复进程保护、进程操作拦截可能导致进程启动不了的问题
- 修复一些误报问题
- 修复对话框界面最大化状态的阴影问题
- 规则引擎添加更多扩展属性
2.6.1.0
修复反馈的一些问题
- 拦截记录添加主动刷新按钮(支持F5刷新)
- 修复内核拦截事件(比如加载驱动)只能拦截,没法弹框的问题
- 修复禁止文件修改、禁止进程修改文件没法拦截通过文件重命名的方式覆盖文件的问题
- 修复部分特殊Win7启动卡慢的问题
- 优化弹框界面
- 文件重命名支持显示重命名后的路径
- 设置注册表值、删除注册表值支持显示注册表值的名称
2.6.0.0
增强稳定性、易用性,建议更新(感谢很多热心网友的建议)
- 添加学习模式
- 在学习模式下,只会旁路监控来学习、观察规则的使用和设置,实际不会拦截任何事件
- 可以用这种方式来建立白名单
- 增强信任列表
- 支持手动添加、编辑
- 不是弹框拦截规则也支持添加信任
- 增强拦截记录交互
- 支持右键添加信任的目标
- 优化性能
- 优化系统启动过程的一些规则设置
- 去掉规则引擎执行线程所有的文件操作
- 优化UI线程被阻塞后,导致系统短暂卡死的问题
- 修复一些场景导致启动卡住的问题
- 模板更新
- 添加快速模板(拦截模式)
- 添加快速模板(信任模式)
- 添加拦截进程启动子进程模板
- 添加忽略系统初始化过程的规则模板
- 优化一些内置模板导致误报弹框的
- 其他
- 调整模板更新逻辑
- 修复启动到托盘闪一下界面的问题
- 高级模板的一些字段命名做了中文翻译
- 修复专家策略设置错误格式导致崩溃的问题
- 修复进程路径选择的时候选择成进程名的问题
- 优化自保护跟卡巴斯基冲突的问题
- 优化一些使用体验问题
2.5.3.0
安全加固添加文件加固、注册表加固选项
- 支持MBR保护
修复导入初始化规则的时候RuleId重复的问题
日志去掉敏感信息
2.5.2.0
优化弹框
- 文案调整:信任调整成允许
- 添加启动进程的命令行参数显示
优化优先级匹配的流程
优化默认规则
- 文档保护添加使用说明
优化托盘使用
2.5.1.0
调整弹框超时时间(从20秒调整到30秒)
弹框更多操作里面添加 “结束当前进程” 选项,更多操作的选项包括:
- 结束当前进程
- 信任进程
- 信任目标
- 拦截进程
- 拦截目标
- 将当前进程加入白名单
更新iMonitorSDK到2.5.0版本
2.5.0.0
重大版本,建议更新
添加基础防护能力
- 智能防护: 利用智能分析和识别恶意软件行为,提供实时防护机制,确保系统免受恶意软件侵害
- 系统优化: 拦截非必要的软件和联网行为,提高系统运行速度和稳定性,提供更优秀的用户体验
- 安全加固: 拦截系统存在漏洞的组件和常见入侵途径,增强系统安全性,避免遭受恶意软件攻击
- 漏洞防御: 根据已知漏洞入侵方式开发专门的防御规则,保障系统不受黑客攻击和恶意软件入侵
模板支持自动在线更新
规则记录添加右键菜单
路径参数添加粘贴支持(方便快速录入多条数据)
路径参数添加多选删除
弹框添加进程命令行信息(方便查看脚本进程对应的脚本文件)
添加规则过滤
优化一些界面使用体验
修复一些问题
2.4.1.0
主要是BUG修复,建议更新
- 修复规则列表“响应动作”下拉框没有自适应宽度覆盖到开启按钮的问题
- 修复规则市场更新通知极端情况可能导致没法正常启动的问题
- 添加无文件攻击默认规则
2.4.0.0
- 添加更多的响应动作支持(拦截、弹框、记录)
- 添加拦截弹框交互支持
- 添加弹框信任列表
- 添加网络端口防火墙支持
- 可以拦截永恒之蓝漏洞等
- 添加导入默认规则、规则导入、规则导出功能
- 优化规则列表界面
- 支持Switch直接切换开启、关闭
- 支持响应动作下拉框切换
- 支持多选、del键删除
- 规则编辑界面支持添加规则说明
- 添加开机默认启动托盘(弹框需要托盘进程的支持)
- 拦截记录添加响应动作列(方便识别记录模式)
- 规则市场更新添加红点提醒
- 优化一些界面使用体验
- 修复一些问题
2.3.0.0
- 添加IPv6、ICMP拦截支持
- 网络拦截规则添加域名支持
- 添加上网行为管理(HTTP拦截)支持
- 添加HTTP请求自定义响应结果支持
- 添加规则分享支持
- 添加规则市场支持,可以通过规则市场直接下载其他人分享的规则
- 添加自保护功能
- 添加家长控制(密码保护)功能
- 优化一些界面使用体验
- 修复一些问题
2.2.0.0
响应事件添加信任模式
添加白名单规则模板
规则模板添加默认参数支持
进程路径参数支持从进程列表快速获取
添加更多规则模板
- 禁止加载驱动
- 禁止加载动态库
- 禁止打开进程
- 禁止进程修改文件
- 禁止进程读取注册表
- 禁止进程修改注册表键
- 禁止进程修改注册表值
- 注册表保护
2.1.0.0
- 添加监控快捷开关
- 添加允许开启只读文件监控
- 添加隐私保护规则模板
2.0.1.0
- 添加多语言支持
- 修复界面一些小问题
2.0.0.0
- 重构规则引擎的实现,使用更加高效简单、容易扩展
- 添加基于模板 + 参数的规则编辑模式
- 添加常见的内置模板
- 添加在线模板升级
- 添加驱动签名