secons -v 函数-在 Windows 上控制检测运行时设置

在 Windows 上有效
cminder12901cn
在 Windows 上有效
secons 实用程序可控制 CA ControlMinder 检测运行时设置。 可使用此实用程序将外部 DLL 库加载到活动的进程,并修改 CA ControlMinder 检测插件的运行时跟踪配置。 必须具有 ADMIN 或 OPERATOR 属性才能执行此命令。
此命令采用以下格式来加载 DLL 库:
secons -v target load "dll_name"
此命令采用以下格式来启用或禁用 CA ControlMinder 检测插件的跟踪:
secons -v target trace plugin_name {trace:enable|trace:disable}:{file:"tracefile_path"|debug}
注意:
在正确配置跟踪之后,CA ControlMinder 才启动跟踪。
此命令采用以下格式来配置 CA ControlMinder 检测插件的跟踪:
secons -v target trace plugin_name trace:option:{sources:{1 | 4} | filtering:value | filecyclic:{0 | 1} | filelimit:value }
  • debug
    指定此命令启用或禁用针对调试输出通道的跟踪。
  • file:"
    tracefile_path
    "
    定义 CA ControlMinder 写入跟踪的文件的完整路径。
    注意:
    如果指定 trace:disable 参数,CA ControlMinder 将忽略为 file:"
    tracefile_path
    " 参数指定的任何值。
  • filecyclic:{0 | 1}
    指定是否启用循环文件跟踪。 如果启用循环文件跟踪,跟踪文件的大小达到指定的最大大小,CA ControlMinder 将返回到跟踪文件的开头,并继续写入跟踪。
    此参数具有以下值:
    0
    -禁用循环文件跟踪
    1
    -启用循环文件跟踪
  • filelimit:
    value
    定义跟踪文件的最大大小(字节)。 值为 0 表示跟踪文件没有最大大小。
  • filtering:
    value
    定义用来筛选指定检测插件的跟踪的位筛选掩码。 CA ControlMinder 不会将筛选的事件写入跟踪文件。
    注意:
    如果不指定筛选选项(即指定 CA ControlMinder 将所有事件写入跟踪),请使用以下值:0xFFFFFFFF。 此参数的所有其他值取决于指定的插件。
  • load "
    dll_name
    "
    指定将指定的 DLL 加载到目标进程。 DLL 操作环境和目标进程操作环境必须相同。 例如:如果指定 32 位进程作为目标过程,则 DLL 也必须是 32 位。
    重要信息!
    DLL 必须位于
    ACInstallDir
    \bin 文件夹中。
  • sources:{1 | 4}
    指定 CA ControlMinder 输出跟踪的位置。
    此参数具有以下值:
    1
    -输出到文件
    4
    -输出到调试 API 跟踪
  • target
    定义一个或多个目标进程。 此参数具有下列值之一:
    • all_32bit
      指定将命令发送到计算机上运行的所有 32 位进程。
    • all_64bit
      指定将命令发送到计算机上运行的所有 64 位进程。
    • PID
      定义目标进程的进程 ID。 目标进程必须正在计算机上运行。
    • process_name
      定义用于标识目标进程的名称的掩码。 目标进程必须正在计算机上运行。 例如,如果为此参数指定 cmd.exe,并且有三个 cmd.exe 实例在计算机上运行,CA ControlMinder 会将命令应用到所有三个进程。
  • trace
    plugin_name
    指定修改名为
    module_name
    (例如,cainstrm 或 stopplg)的 CA ControlMinder 检测插件的运行时跟踪配置。
    注意:
    必须指定该插件的 DLL 名称。 如果升级检测插件,并更改该插件的 DLL 名称,必须在命令中指定新 DLL 的名称。 例如:如果升级 cainstrm 插件,并且该插件升级后的 DLL 名称是 cainstrm2.dll,则必须将 cainstrm2 指定为
    plugin_name
  • trace:disable
    指定启用目标插件的跟踪。
  • trace:enable
    指定禁用目标插件的跟踪。
    注意:
    此参数将在运行时更改跟踪启用标志的状态。 在正确配置跟踪之后,CA ControlMinder 才启动跟踪。
  • trace:option
    指定配置目标插件的跟踪。
示例:启用对调试输出通道的跟踪
以下命令将在运行时针对计算机上所运行的 32 位进程中的所有 stopplg 插件文件更改跟踪启用标志的状态。 在正确配置跟踪之后,CA ControlMinder 才开始跟踪。
secons -v all_32bit trace stopplg trace:enable:debug
示例:将跟踪筛选掩码应用于插件
以下命令将跟踪筛选掩码应用于 PID 为 362 的进程中的所有 cainstrm 插件文件:
secons -v 362 trace "cainstrm trace:option:filtering:4294967295"