阅读原文

跳转微信打开

晚上也要emo一下，回头看只悟出一个道理，自信驾驭强大，在年少时遇到很厉害的你男人之间的感情也有现实的迷茫和无奈，独自一人时，是兵也是将，无依无靠时自己就是千军万马，不止一个人摸索前行，在伟大的梦想也应该是一个个当下，在努努力只等轻舟已过万重山。

阅读原文

跳转微信打开

静界20250809，测试了几周，目前只能小号奔放。

基本效果

阅读原文

跳转微信打开

这是通过 DeepSeek 获取的思路，仅供参考。实际上，反作弊系统的本质与 EDR 相似，都是为了寻找攻击者留下的证据，并将其从系统中剔除。

BattlEye（BE）的封禁决策是一个多层动态分析系统，结合实时规则引擎、机器学习模型和人工审核机制。以下是深度技术解析（基于专利文件、逆向研究和官方披露）：

二、关键技术模块

1.规则引擎（静态检测）

• 特征库：>10万条作弊签名（2023年数据）

• 匹配方式：

def rule_engine(event):
    # 内存特征匹配
    if event['type'] == 'MEMORY' and event['hash'] in KNOWN_CHEAT_HASHES:
        return BAN_IMMEDIATE  # 立即封禁


    # 驱动签名检测
    if event['type'] == 'DRIVER' and event['sign_status'] == 0:
        return BAN_DELAYED  # 延迟封禁

典型规则：

• 检测到Aimbot.dll内存哈希匹配已知外挂

• 存在未签名驱动cheat.sys

2. 行为链分析（动态关联）

{
  "chain_id": "C17",
  "events": [
    {"eid": 1001, "pid": 4567, "flg": 0x8001},  // 代码注入
    {"eid": 2002, "pid": 4567, "addr": "0x7FFA1B8C0000"}, // 内存篡改
    {"eid": 4001, "ip": "45.76.102.33:9999"}    // 外挂服务器连接
  ],
  "time_window": 5000  // 5秒内发生
}

• 检测逻辑：
  当3个关联事件在5秒内发生 → 判定为主动作弊

3. 威胁评分模型（AI决策）

评分公式（简化版）：

Score = \sum_{i=1}^{n} W_i \cdot Severity_i + \alpha \cdot HistoryScore + \beta \cdot EnvRisk

• 变量说明：

• $W_i$：事件权重（内存篡改=1.2，驱动加载=1.5）

• $Severity_i$：事件严重等级（1-4）

• $HistoryScore$：历史违规累积分（指数衰减）

• $EnvRisk$：环境风险值（虚拟机=0.8，调试器=1.0）

封禁阈值：

• Score > 8.5：自动封禁

• 5.0 < Score ≤ 8.5：人工审核

• Score ≤ 5.0：仅记录

好的，我们可以把 “异常系统行为模式 + ETW 数据”这个概念拆开讲清楚，并结合 BE（BattlEye）如何使用它进行反作弊分析。

异常系统行为模式

反作弊系统不会直接判定你在使用外挂，而是通过行为模式识别异常。典型的异常系统行为包括：

核心思路：单个行为可能无害，但组合在一起就形成异常行为模式。

ETW 数据的作用

ETW（Event Tracing for Windows）是 Windows 提供的内核追踪机制，能记录这些行为事件：

ETW 将这些事件发送到 AC 的内核或用户态分析器进行行为模式分析。

异常系统行为模式 + ETW 数据结合原理

1. 事件收集
• BE 

  在内核注册 ETW Provider，捕获关键事件。

2. 行为建模

• 收集的事件被整理成行为序列，例如：

css

复制编辑

[ThreadCreate] -> [WriteMemory] -> [DLL Inject] -> [ThreadSuspend]

3. 模式识别

• 使用规则、统计、或 ML 模型识别“异常组合”。

• 例如：合法游戏行为几乎不会同时出现大量跨进程写内存 + DLL 注入 + 模块篡改。

4. 响应

• 如果模式异常，触发警告或封号。

总结：ETW 提供了可量化、可追踪的事件数据，而异常行为模式提供了分析逻辑，两者结合是现代 AC 的核心检测思路。

阅读原文

跳转微信打开

什么是ESP工具,chat gpt回答的：下方是静界PUBG ESP工具使用教程，r0级别的驱动读取内存+隐蔽

什么是ESP工具,chat gpt回答的：

下方是静界PUBG ESP工具使用教程，r0级别的驱动读取内存+隐蔽通信+防界面防录屏等功能，可规避BE在终端上的检测寻找到证据来永久封禁账号，暴力杀人游戏内被玩家举报多了会被封24小时。

交流群：459592673

阅读原文

跳转微信打开

第三次版本测试更新稳定性

阅读原文

跳转微信打开

跳转微信打开

玄武安全卫士应用在网吧场景主要是拦截外挂和盗号程序等，轻量级别的r0防护软件，只要被特征的外挂程序通过浏览器等

1232	0x2e3c	KERNELBASE.dll	RtlInitUnicodeStringEx ( 0x00000052fed579f8, "StreamResource" )	STATUS_SUCCESS	1233	0x2e3c	KERNELBASE.dll	NtQueryValueKey ( 0x0000000000000454, 0x00000052fed579f8, KeyValueFullInformationAlign64, 0x00000052fed578b0, 0x00000090, 0x00000052fed57864 )	STATUS_OBJECT_NAME_NOT_FOUND	0xc0000034 = 找不到对象名。 

#pragma once
#include <Windows.h>
// 定义 EasyHook 命名空间namespace EasyHook{    // HookFunction: 用于钩住一个指定的 DLL 中的函数    HRESULT HookFunction(        LPCSTR lpDllName,              // 钩住的库名称        LPCSTR lpFunctionName,         // 钩住的函数名称        PVOID pHookFunction,           // 我们自己的钩子函数        PVOID* ppOriginalFunction      // 存储原始函数的地址    );}

#include "pch.h"#include <Windows.h>#include <iostream>#include <string>#include "EasyHook.h"

// 定义 NtQueryValueKey 的委托typedef int(WINAPI* NtQueryValueKeyDelegate)(HANDLE, PVOID, int, PVOID, int, PVOID);
// 原始 NtQueryValueKey 函数指针NtQueryValueKeyDelegate pOriginalNtQueryValueKey = nullptr;
// 钩子函数，用于拦截 NtQueryValueKey 调用int WINAPI NtQueryValueKeyHook(HANDLE keyHandle, PVOID valueName, int keyValueInformationClass, PVOID keyValueInformation, int keyValueInformationLength, PVOID resultLength){    // 判断是否是 "StreamResource"    if (valueName && strcmp((char*)valueName, "StreamResource") == 0)    {        wprintf(L"拦截了 StreamResource 访问\n");  // 使用宽字符输出
        // 返回 0，表示成功        return 0; // 你可以根据需要改变返回值    }
    // 如果没有被拦截，调用原始的 NtQueryValueKey 函数    return pOriginalNtQueryValueKey(keyHandle, valueName, keyValueInformationClass, keyValueInformation, keyValueInformationLength, resultLength);}
// EasyHook 中的钩子入口函数void HookNtQueryValueKey(){    // 使用 EasyHook 来注入钩子    HRESULT hr = EasyHook::HookFunction(        "ntdll.dll",              // 钩住的库        "NtQueryValueKey",        // 钩住的函数        (PVOID)&NtQueryValueKeyHook, // 我们自己的钩子函数        (PVOID*)&pOriginalNtQueryValueKey // 存储原始函数地址    );
    if (FAILED(hr))    {        wprintf(L"EasyHook 注入失败: 0x%x\n", hr);    }    else    {        wprintf(L"钩子注入成功\n");    }}
// DllMain 入口点BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved){    switch (ul_reason_for_call)    {    case DLL_PROCESS_ATTACH:        // 当 DLL 被加载时，钩住 NtQueryValueKey 函数        HookNtQueryValueKey();        break;    case DLL_PROCESS_DETACH:        // 如果需要，可以在此处进行清理        break;    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:        break;    }    return TRUE;}

阅读原文

跳转微信打开

写游戏外挂，重要的是如何对抗高级反作弊系统如BattlEye，对抗才能让游戏辅助存活更久，不对抗的游戏辅助存活

写游戏外挂，重要的是如何对抗高级反作弊系统如BattlEye，对抗才能让游戏辅助存活更久，不对抗的游戏辅助存活时间只有几个小时或者一天不等，首先通过deepseek了解BattlEye的发展史。

1. 初创阶段（2004–2010）

背景与诞生

• 成立时间
  ：2004 年由德国开发者 Bastian Suter 创立，最初专注于多人游戏的反作弊研究。
• 早期目标
  ：解决《战地 2》《武装突袭》等军事模拟游戏的作弊泛滥问题。

技术特点

• 用户态检测
  ：通过扫描进程内存和文件特征（如外挂 DLL 的哈希值）识别作弊。
• 简单规则库
  ：依赖人工逆向分析外挂样本，生成静态特征码。

局限性

• 易被绕过
  ：外挂开发者可通过重编译或代码混淆轻松绕过检测。
• 兼容性问题
  ：频繁误封正常玩家，尤其在模组（Mod）支持活跃的游戏中。

2. 内核驱动时代（2011–2015）

技术突破

• 内核态监控
  ：2011 年推出首个内核驱动（如 BEDaisy.sys），实现 Ring 0 级权限监控。
• 监控重点：进程注入、内存篡改、驱动加载。
• 主动防御
  ：引入反调试（Anti-Debug）和反虚拟机（Anti-VM）技术，对抗外挂分析工具。

合作扩展

• 主流游戏适配
  ：与育碧（《彩虹六号：围攻》）、Bohemia Interactive（《DayZ》）建立合作。
• 反外挂联盟
  ：加入 FairPlay Alliance，共享作弊特征库。

标志性事件

• 《H1Z1》封禁潮
  ：2015 年 BE 单日封禁超 2 万账号，引发社区对反作弊效能的关注。

3. 虚拟化与硬件整合（2016–2020）

技术升级

• 虚拟化防护（VBS）
  ：2018 年集成 Hypervisor 技术（如 Windows 的 VBS），隔离游戏进程与内核监控。
• 硬件级检测
  ：支持 TPM 2.0 和 Intel CET，追踪硬件指纹（如 GPU UUID、主板序列号）。
• AI 行为分析
  ：2019 年引入机器学习模型，检测异常操作（如自瞄锁定的鼠标移动模式）。

大作的标配

• 《绝地求生》
  ：2017 年成为 BE 的标志性案例，单月封禁账号超百万。
• 《堡垒之夜》
  ：2018 年 Epic Games 全面采用 BE，推动其成为行业标准。

4. 现代防御体系（2021–至今）

技术前沿

• 零信任架构
  ：与游戏引擎深度集成（如 Unreal Engine 5 的 Anti-Cheat SDK），实时验证代码完整性。
• 区块链存证
  ：2022 年试验 Immutable X 区块链记录作弊行为，确保日志不可篡改。
• 量子安全
  ：探索后量子加密算法（如 Kyber）保护通信协议。

行业影响

• 标准化协议
  ：推动反作弊技术成为游戏服务的基础设施（如 Xbox Game Pass 的默认集成）。
• 全球化运营
  ：支持超过 100 款游戏，日均处理数千万次检测请求。

挑战与争议

• 隐私争议
  ：内核驱动的高权限访问引发玩家对数据收集的担忧（如欧盟 GDPR 合规性审查）。
• 对抗升级
  ：外挂开发者转向 AI 驱动作弊（如《Apex 英雄》的深度学习自瞄工具）。

下面是对抗技术的发展思路

在对抗高级反作弊系统（如 BattlEye、EasyAntiCheat、Vanguard）或实现更深层的控制时，确实存在一些比传统 VT（虚拟化技术）更复杂、更隐蔽的技术方案。以下是几种技术路线的分析和对比：

1. 硬件级劫持方案

(1) Intel Processor Trace (PT) / AMD Performance Monitoring Unit (PMU)

• 原理
  ：直接利用 CPU 的硬件级指令追踪功能（非虚拟化），记录目标进程的每一条指令流。
• 优势
  ：
• 完全无痕
  ：无需加载 Hypervisor，反作弊系统无法通过传统虚拟化特征检测。
• 指令级监控
  ：可捕获加密/混淆后的代码行为（如游戏逻辑解密后的明文指令）。
• 实现难点
  ：
• 需要深入理解 CPU 微架构和 Intel PT 协议。
• 需绕过操作系统对 PT/PMU 的独占访问限制（如通过内核驱动）。

(2) 硬件 DMA 攻击

• 原理
  ：通过 PCIe 设备（如 FPGA 或专用硬件）直接访问内存（Direct Memory Access），完全绕过操作系统和 CPU 权限控制。
• 工具
  ：
• PCILeech
  ：利用 Thunderbolt/USB4 接口的 DMA 漏洞。
• 自定义 FPGA 设备
  ：如通过 PCIe 开发板直接读写内存。
• 优势
  ：
• 无视所有软件防护
  （包括内核反作弊驱动）。
• 物理级隐蔽性
  ：反作弊系统无法检测外部硬件行为。
• 缺点
  ：
• 需要物理接触设备，成本高昂。
• 部分系统已启用 IOMMU 防护（如 Windows Kernel DMA       Protection）。

2. 操作系统内核漏洞利用

(1) 零日漏洞（Zero-Day Exploit）

• 原理
  ：利用未公开的内核漏洞（如 Windows 的 ntoskrnl.exe 或 Linux 的 sys_call_table）获取 Ring 0 最高权限。
• 典型漏洞
  ：
• EoP（权限提升）漏洞
  ：如 CVE-2021-21551（戴尔驱动漏洞）。
• 内存损坏漏洞
  ：如 UAF（Use-After-Free）、池溢出。
• 优势
  ：
• 完全控制系统
  ：可挂钩任何内核函数（如 NtReadVirtualMemory）。
• 无驱动签名要求
  ：通过漏洞绕过 Driver Signature Enforcement (DSE)。

(2) 内核对象篡改

• 技术手段
  ：
• 修改 EPROCESS 结构
  ：隐藏进程/线程（对抗反作弊扫描）。
• 劫持 APC（异步过程调用）
  ：强制注入代码到高权限线程。
• 工具
  ：
• Cheat Engine 内核模式驱动
  ：通过 DBK（驱动程序工具包）实现。
• 自定义 Rootkit
  ：如挂钩 PsSetCreateProcessNotifyRoutine。

3. 混合虚拟化与硬件加速

(1) 嵌套虚拟化（Nested Virtualization）

• 原理
  ：在 Hypervisor 上再嵌套一层虚拟机（如 KVM on Hyper-V），混淆反作弊系统的虚拟化检测。
• 应用场景
  ：
• 绕过反作弊系统对单一 Hypervisor 的检测（如 Vanguard 的 HVCI 检查）。
• 实现工具
  ：
• QEMU + KVM
  ：配置嵌套虚拟化参数。
• 自定义 Hypervisor
  ：动态切换虚拟化层级。

(2) GPU/DPU 加速劫持

• 原理
  ：利用 GPU 或 DPU（数据处理器）执行敏感操作，避免 CPU 层面的检测。
• 技术示例
  ：
• CUDA/OpenCL 内存操作
  ：通过 GPU 直接修改游戏内存（如血量值）。
• DPU 加密流量劫持
  ：拦截并篡改游戏网络封包（如《英雄联盟》技能指令）。
• 优势
  ：
• 反作弊系统通常不监控 GPU/DPU 行为。
• 高性能、低延迟。

4. AI/ML 动态行为模拟

(1) 强化学习（Reinforcement Learning）

• 原理
  ：训练 AI 模型模拟玩家操作（如自动瞄准、走位），而非直接修改内存或代码。
• 工具链
  ：
• TensorFlow/PyTorch
  ：训练行为模型。
• OpenCV
  ：屏幕图像实时分析（如敌人位置识别）。
• 优势
  ：
• 无底层痕迹
  ：反作弊系统难以区分 AI 与真人。
• 可自适应更新策略（如应对游戏版本更新）。
• 案例
  ：
• 《CS:GO》的 AI 外挂“DeepAim”通过视觉输入实现自瞄。

(2) 代码混淆与对抗样本

• 原理
  ：生成对抗性代码片段，干扰反作弊系统的静态分析。
• 技术
  ：
• 控制流平坦化
  ：打乱函数逻辑流。
• 多态代码引擎
  ：每次注入的代码均不同（如随机寄存器分配）。
• 工具
  ：
• LLVM Obfuscator
  ：编译时自动混淆代码。

阅读原文

跳转微信打开

不要总局限在以前的行业，外面路更加广阔天空，多尝试就好。

阅读原文

跳转微信打开

跳转微信打开

现在学习一下如何扫描交易所代币市场变化来分析交易机会

以币安交易所提供的7x24小时交易接口为例，最简单的筛选条件根据、最小成交量、最小报价币成交量、最小波动百分比、最大波动百分比来挑选交易机会。

根据交易所7x24时间规律来进行选择合适的策略做单

把之前从交易所挑选的交易接口代币数据尝试用chatgpt4模型去理解一下

基于以上chatgpt给出的可能存在交易机会的EIGENUSDT代币

扫描的时间是ID: 55, 时间: 2025-02-16 15:05:19, 交易对象: EIGENUSDT, 成交量: 7980460.76, 报价币成交量: 13000073.6658, 波动率: -5.06%, 当前价格: 1.595, EMA: 1.770529359802952, RSI: 26.054590570719597

不确定的机会下可以选择观察这个代币看看这个买入信号是不是假的，我现在观察的时间是2025年2月16号晚上21:24,看看当前EIGENUSDT代币的价格。

阅读原文

跳转微信打开

试了试用DeepSeek来学习区块链量化，确实扩展了一些思路，个人感觉区块链量化就是选择合适的市场通过各种维度的数据（链上数据，市场数据，社交数据等）决策何时买入信号和卖出信号，赢得Alpha机会（超额收益）看透规则按照规则办事。

关键词代币市值，需要了解市场上代币的市值来判断规模和波动性。

比如搜索代币TRUMP，来查看代币发行日期，市场规模和波动性，明显TRUMP属于中盘币，大盘币波动性较低，做量化只能选择波动性高的才有量化的空间。

然后可以通过DeepSeek获取一些链上分析的方法来观察代币持有的巨鲸地址活动和市场变化。

这种需要自己获取一些开源数据自己分析观察链上数据平台网站 https://solscan.io/。

阅读原文

跳转微信打开

阅读原文

跳转微信打开

导入了AAVE/USDT的部分数据测试，查询数据根据提交的年份月份和日期查询当天的历史数据，后面想怎么弄策略跑一下数据。

阅读原文

跳转微信打开

还没导入k线数据，继续在测试。

跳转微信打开

继续折腾一下我觉得还是写成网页访问最好，通过公开的加密货币k线数据去写一些分析功能。

继续折腾一下我觉得还是写成网页访问最好，通过公开的加密货币k线数据去写一些分析功能。

阅读原文

跳转微信打开

个人理解如果在一个市场挣不到钱何不换个市场,加密货币属于虚拟经济,特点是市场多样性比如币种多,获利机会多。

个人理解如果在一个市场挣不到钱何不换个市场,加密货币属于虚拟经济,特点是市场多样性比如币种多,获利机会多。

当然加密货币属于投资你也可以认为是生意,生意就是一买一卖，能获利,能在市场挣到钱懂的交易谋生。

加密货币一些基础知识

选择交易平台比如币安www.binance.com

需要了解行情当前市场存在交易的币种信息，投资者需要了解选择的币种信息等等。

比如我想对AAVE/USDT币种进行量化研究看看是否可以在这个市场挣到钱。

通过chatgpt4.0了解AAVE/USDT

了解完之后就是研究AAVE/USDT的K线历史行情数据

K线（又称蜡烛图）历史数据是金融市场中广泛使用的一种数据格式,用于表示资产在特定时间段内的价格走势。K线数据通常包括开盘价、收盘价、最高价、最低价和成交量等信息,可以用于技术分析和交易策略开发。

加密货币量化分析是一种利用数学模型、算法和计算机程序，通过分析历史价格、成交量、链上数据等,来制定自动化交易策略,识别市场机会,并优化投资决策。

我个人理解的一些投资策略

单项操作低价买入高价卖出

我只选择现货交易,因为没有杠杆所以不会归零,只有币的市场价值没有了才会归零,只要能涨就不会。

日内交易（Day Trading）是一种短期交易策略,交易者在同一交易日内买入和卖出金融资产,通常不持仓过夜。日内交易者通过捕捉市场的短期价格波动获利,交易时间范围通常从几秒钟到几小时不等。日内交易广泛应用于股票、期货、外汇和加密货币市场,要求交易者具备快速决策能力、良好的市场分析技巧以及严格的风险管理策略。的技术。它旨在通过数据驱动的方法,在高波动性市场中实现稳定的收益。制定自动化交易策略,识别市场机会,并优化投资决策的技术。它旨在通过数据驱动的方法，在高波动性市场中实现稳定的收益。

回测AAVE/USDT k线历史行情数据

通过币安API获取AAVE/USDT k线历史行情数据,我下载AAVE/USDT 2024.8.19号的k线数据细粒度是精确到3分钟。

下载完数据AAVEUSDT-3m-2024-08-19.csv需要了解里面的数据格式。

Open_time开盘时间 open开盘价 high最高价 low最低价 close收盘价volume成交量 close_timeK线图收盘时间（unix格式） quote_volume报价币成交量 count成单数 taker_buy_volume在此期间吃单方买入的基础币数量 taker_buy_quote_volume在此期间吃单方买入的报价币数量ignore忽略

通过python解析数据进行买入卖出交易信号策略测试,计算移动平均线SMA参考的数据是收盘价格数据，1个时间段 = 15分钟。

1. 计算移动平均线 (SMA)

在你的代码中，使用了两个不同的移动平均线 (SMA)：

SMA_short: 这是一个短期移动平均线，使用了过去3个时间段的收盘价来计算。

SMA_long: 这是一个长期移动平均线，使用了过去15个时间段的收盘价来计算。

data['SMA_short'] = data['Close'].rolling(window=3).mean()data['SMA_long'] = data['Close'].rolling(window=15).mean()

2. 生成买入和卖出信号

买入和卖出信号的生成基于两个移动平均线之间的关系：

买入信号 (Signal = 1): 当短期移动平均线（SMA_short）穿过并高于长期移动平均线（SMA_long）时生成。

卖出信号 (Signal = 0): 当短期移动平均线低于长期移动平均线时生成。

data['Signal'] = 0data.iloc[3:, data.columns.get_loc('Signal')] = np.where(    data['SMA_short'].iloc[3:] > data['SMA_long'].iloc[3:], 1, 0)

3. 生成交易信号

Position 列通过计算 Signal 的差值来生成交易信号：

Position = 1: 表示买入操作。它表示在当前时间点有一个买入信号（即短期均线刚刚突破长期均线）。

Position = -1: 表示卖出操作。它表示在当前时间点有一个卖出信号（即短期均线刚刚跌破长期均线）。

Position = 0: 表示保持现有持仓，不进行买入或卖出。

data['Position'] = data['Signal'].diff()

4. 回测过程

在回测过程中，根据交易信号的变化来决定何时买入或卖出：

买入操作: 如果 Position = 1 并且有可用的现金，则全仓买入。

卖出操作: 如果 Position = -1 并且当前持有资产，则全仓卖出。

for i in range(1, len(data)):    if data.iloc[i]['Position'] == 1:  # 买入信号        if cash > 0:            holding = cash / data.iloc[i]['Close']            cash = 0    elif data.iloc[i]['Position'] == -1:  # 卖出信号        if holding > 0:            cash = holding * data.iloc[i]['Close']            holding = 0

5. 策略分析

这个策略的核心思想是“均线交叉策略”。它试图通过判断短期价格趋势相对于长期趋势的变化，来捕捉市场的趋势反转点。

优点: 这种策略相对简单，适合捕捉大趋势。它能帮助避免在市场横盘整理时频繁交易。

缺点: 在震荡市中可能会出现多次虚假信号，导致频繁的交易和潜在的亏损。策略中没有考虑交易成本、滑点和其他市场影响因素。

跑的结果分析

开始跑一下历史数据可以看到，initial cash是初始现金,Final Portfolio value是初始现金加上的盈利的钱,return 回报率。

Initial Cash: 10000Final Portfolio Value: 10524.922975089346Return: 5.25%

可以看到通过策略捕捉的价格上涨信号进行买入，也有一些虚假的信号进行买入了，这只是通过历史行情数据复盘，实盘复盘需要考虑的比较多，具体还要参考每天市场行情策略不一定适用。

阅读原文

跳转微信打开

之前看过一篇文章，讲抓木马这块。

来了解一下复杂之眼EDR的异常HASH的聚合计数排行榜，出现行为有异常的，会把哈希提示出来排序，出现异常行为就是有问题，需要排查机器了。上面截图讲的策略，一个应用程序只在客户机器上运行一次，在全网别的机器上从来没运行过没有痕迹说明存在问题的可能性很大，从复杂之眼EDR上可以做基于遥测数据，新发现的应用程序提示功能，客户机器上跑了什么程序会进行排序计数，可以进行威胁情报的研判。

阅读原文

跳转微信打开

复杂之眼提供遥测数据转发功能，客户组织机构下安装复杂之眼EDR,客户可以自己挖掘其网络中是否存在高级威胁行为体

复杂之眼提供遥测数据转发功能，客户组织机构下安装复杂之眼EDR,客户可以自己挖掘其网络中是否存在高级威胁行为体的活动。

已检测到的威胁

已检测到的事件

遥测数据查询事件猎手

客户组织机构下积累的全网终端数据，威胁数据、事件数据、遥测数据都可以通过遥测数据转发功能转发到客户自己的存储服务器上，进行人工分析挖掘客户网络中是否存在高级威胁行为体的攻击链路。

阅读原文

跳转微信打开