目录
检查单元技术描述
提示:ASAC 检查单元采用模块化设计,各单元相互独立又协同工作。建议按照实际需求选择合适的检查单元组合,以达到最佳的安全检测效果。
虚拟机检测单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800000_0 | 获取ASAC800000基础信息 | 获取系统和BIOS模型 |
ASAC800000_1 | 检查虚拟机特征关键字 | 检查虚拟机系统特征关键字 |
ASAC800000_2 | 检查虚拟机系统特征文件 | 检查虚拟机系统特征文件 |
ASAC800000_3 | 检查虚拟机系统特征进程 | 检查虚拟机系统特征进程 |
ASAC800000_4 | 检查虚拟机系统注册表键 | 检查虚拟机系统注册表键 |
ASAC800000_5 | ADV检查DMI表信息 | 检查DMI表信息 |
使用建议:在虚拟化环境中进行安全检测时,建议启用完整的虚拟机特征检查,包括文件、进程和注册表三个层面的检测,可有效识别常见的虚拟化逃逸行为。
系统活动分析单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800001_0 | 获取系统活动日志 | 获取系统活动日志 |
ASAC800001_1 | 检查可疑程序运行日志 | 检查系统活动信息可疑程序运行日志 |
ASAC800001_2 | 检查可疑路径活动日志 | 检查系统活动信息可疑路径活动日志 |
ASAC800001_3 | 检查可疑软件签名日志 | 检查系统活动信息可疑软件签名日志 |
注意事项:系统活动日志可能包含大量数据,建议结合时间范围进行筛选分析,提高排查效率。
USB设备监控单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800002_0 | 获取USB端口设备日志 | 获取系统USB端口设备日志 |
ASAC800002_1 | 检查异常USB拔出记录 | 检查时间段内异常USB设备拔出记录 |
ASAC800002_2 | 检查异常USB安装记录 | 检查时间段内异常USB设备安装记录 |
安全提示:USB设备是常见的恶意软件传播途径,建议定期检查USB设备插拔记录,特别关注异常时间段的设备变动。
PCIe设备监控单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800003_0 | 获取PCIe设备日志 | 获取系统PCIe设备日志 |
ASAC800003_1 | 检查异常PCIe拔出记录 | 检查时间段内异常PCIe设备拔出记录 |
ASAC800003_2 | 检查异常PCIe安装记录 | 检查时间段内异常PCIe设备安装记录 |
使用建议:PCIe设备监控有助于发现硬件层面的异常变更,如显卡、网卡等设备的非授权更换。
ACPI设备监控单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800004_0 | 获取ACPI设备日志 | 获取系统ACPI设备日志 |
ASAC800004_1 | 检查异常ACPI拔出记录 | 检查时间段内异常ACPI设备拔出记录 |
ASAC800004_2 | 检查异常ACPI安装记录 | 检查时间段内异常ACPI设备安装记录 |
注意事项:ACPI设备包括主板集成的各类硬件控制器,异常的ACPI设备变更可能暗示系统配置被篡改。
蓝牙设备监控单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800005_0 | 获取BTH设备日志 | 获取系统BTH设备日志 |
ASAC800005_1 | 检查异常BTH拔出记录 | 检查时间段内异常BTH设备拔出记录 |
ASAC800005_2 | 检查异常BTH安装记录 | 检查时间段内异常BTH设备安装记录 |
安全提示:蓝牙设备可能被用于无线攻击,建议在敏感环境中禁用不必要的蓝牙设备,并监控其连接状态。
HID设备监控单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800006_0 | 获取HID设备日志 | 获取系统HID设备日志 |
ASAC800006_1 | 检查异常HID拔出记录 | 检查时间段内异常HID设备拔出记录 |
ASAC800006_2 | 检查异常HID安装记录 | 检查时间段内异常HID设备安装记录 |
使用建议:HID设备(键盘、鼠标等)是最容易被植入恶意程序的设备之一,建议关注新接入HID设备的来源和签名信息。
开关机记录分析单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800007_0 | 获取开关机日志 | 获取系统开关机日志 |
ASAC800007_1 | 检查近期重启日志 | 检查系统近期重启日志 |
ASAC800007_2 | 检查近期关机日志 | 检查系统近期关机日志 |
ASAC800007_3 | 检查当前启动时长 | 检查系统当前启动时长 |
ASAC800007_4 | 检查历史异常关机次数 | 检查系统历史异常关机次数 |
ASAC800007_5 | 检查异常关机进程 | 检查系统异常关机进程 |
ASAC800007_6 | 检查连续短时间启动记录 | 检查系统连续短时间启动记录 |
安全提示:异常的开关机记录可能表明系统遭受攻击或存在后门程序,频繁的短时间启动尤其需要关注。
系统DLL文件注册信息分析单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800008_0 | 获取DLL文件注册信息 | 获取系统DLL文件注册信息 |
ASAC800008_1 | 检查近期DLL注册日志 | 检查系统近期DLL文件注册日志 |
ASAC800008_2 | 检查近期DLL修改日志 | 检查系统近期DLL文件修改日志 |
ASAC800008_3 | 检查近期DLL创建日志 | 检查系统近期DLL文件创建日志 |
注意事项:DLL注入是恶意软件的常用技术,建议定期检查DLL文件的变更记录,识别可疑的注册和修改行为。
系统驱动程序注册信息分析单元
| 代码 | 名称 | 说明 |
|---|---|---|
ASAC800009_0 | 获取驱动程序注册信息 | 获取系统驱动程序注册信息 |
ASAC800009_1 | 检查可疑驱动注册日志 | 检查系统可疑驱动程序注册日志 |
ASAC800009_2 | 检查近期驱动修改日志 | 检查系统近期驱动程序修改日志 |
ASAC800009_3 | 检查近期驱动创建日志 | 检查系统近期驱动程序创建日志 |
安全提示:恶意驱动程序具有极高的系统权限,建议特别关注近期新增或修改的驱动程序,必要时进行数字签名验证。
综合建议:为了全面掌握系统安全状态,建议定期执行完整的检查单元扫描,并结合实际业务需求制定相应的响应策略。如遇异常情况,请及时查阅错误代码手册获取详细信息。