调试模式是安全中心附带的增强功能,工作在系统内核模式,启动时机早于任何应用层程序,能完整记录系统活动。
调试模式的作用
- 本地临时编写、测试规则;
- 查看客户机的进程、dll模块/驱动、网络、文件等记录,以便针对性的编写规则或者排查问题;
- 查看安全中心拦截记录,便于调整规则.
服务端开启调试模式
在安装了维护大师主服务端的服务器上,打开维护大师控制台并登陆进去,点击“安全中心”,开启“调试模式开关”,并填入开启调试模式的客户机IP:
警告:调试模式下安全中心比较占用客户机资源,所以不使用调试模式时请关闭调试模式开关。
调试主机列表:
填写开启调试模式的客户机IP,一行一个。如果是所有客户机都进入调试模式,填 0.0.0.0
调试模块开关:
进程模块开关控制“进程回调”、“线程回调”、“镜像回调”;注册表模块开关控制“注册表回调”;网络模块开关控制“网络过滤驱动”;文件模块开关控制“微端口过滤器”
云端规则管理:
此处显示WEB端为该网吧分配的规则列表.
警告:当开启调试模式时,此处的规则将不受云端控制,关闭调试模式后,此处的规则将和云端进行同步,覆盖掉本地规则。
所以在关闭调试模式之前请将您写好的规则复制出来,以免规则丢失。
客户机查看调试模式记录
在上一步中设置好了调试选项,客户机重启系统,开机后按热键(默认为Ctrl+Alt+Shift+F7),输入管理密码。热键和管理密码可在主服务端控制台的基本设置内设置,如下图
客户机输入管理密码(若无法输入密码请通过维护大师控制台远程控制客户机):
进入客户端界面:
查看进程记录
系统驱动的加载记录(可采集hash值):
dll模块、驱动搜索(按Ctrl+F):
进程dll模块加载记录(可采集DLL的hash值进行拦截DLL加载):
安全中心拦截记录(暂时只显示文件拦截、进程拦截、hash值拦截的记录):
查看文件记录
按 Control+F 显示多条件过滤器,该过滤器使用方法和著名软件ProcessMonitor类似.
点击确定按钮现在经过多条件过滤后的文件活动记录(下图显示的为所有sys驱动文件的生成记录),可以根据需求灵活设置过滤条件。
