调试模式是安全中心附带的增强功能,工作在系统内核模式,启动时机早于任何应用层程序,能完整记录系统活动。

调试模式的作用

  1. 本地临时编写、测试规则;
  2. 查看客户机的进程、dll模块/驱动、网络、文件等记录,以便针对性的编写规则或者排查问题;
  3. 查看安全中心拦截记录,便于调整规则.

 

服务端开启调试模式

在安装了维护大师主服务端的服务器上,打开维护大师控制台并登陆进去,点击“安全中心”,开启“调试模式开关”,并填入开启调试模式的客户机IP:

警告:调试模式下安全中心比较占用客户机资源,所以不使用调试模式时请关闭调试模式开关。

调试主机列表:

填写开启调试模式的客户机IP,一行一个。如果是所有客户机都进入调试模式,填 0.0.0.0

调试模块开关:

进程模块开关控制“进程回调”、“线程回调”、“镜像回调”;注册表模块开关控制“注册表回调”;网络模块开关控制“网络过滤驱动”;文件模块开关控制“微端口过滤器”

云端规则管理:

此处显示WEB端为该网吧分配的规则列表.

警告:当开启调试模式时,此处的规则将不受云端控制,关闭调试模式后,此处的规则将和云端进行同步,覆盖掉本地规则。

所以在关闭调试模式之前请将您写好的规则复制出来,以免规则丢失。

 

客户机查看调试模式记录

在上一步中设置好了调试选项,客户机重启系统,开机后按热键(默认为Ctrl+Alt+Shift+F7),输入管理密码。热键和管理密码可在主服务端控制台的基本设置内设置,如下图

0015a4dc7d904c64562a7a729f3958f

客户机输入管理密码(若无法输入密码请通过维护大师控制台远程控制客户机)

0015a4dc8c247a750bda660ec793c4c

进入客户端界面:

0015a4dc95187c957230f2513a3c6b4

查看进程记录

系统驱动的加载记录(可采集hash值):

0015a4dcc0b6b993b5dc10dc42068cb

dll模块、驱动搜索(按Ctrl+F):

0015a4dce9f7392a35f892dcf8653d8

进程dll模块加载记录(可采集DLL的hash值进行拦截DLL加载):

0015a4dcf2b58d554181f0cf50204cb

安全中心拦截记录(暂时只显示文件拦截、进程拦截、hash值拦截的记录):

0015a4dcf91bc68f5ea075e200cf9cd

查看文件记录

按 Control+F 显示多条件过滤器,该过滤器使用方法和著名软件ProcessMonitor类似.

点击确定按钮现在经过多条件过滤后的文件活动记录(下图显示的为所有sys驱动文件的生成记录),可以根据需求灵活设置过滤条件。