使用分三步。第一步下载安装，去官网或者GitHub下载对应你系统位数的版本，双击安装就行了，装完不用重启。第二步学会过滤，刚打开冰镜时事件会刷得很快，你要通过顶部的过滤工具栏设置条件，比如“只看微信进程的行为”或者“只看对D盘的写操作”，这样信息量就降下来了。第三步分析日志，看到可疑事件后双击它，可以查看详细的调用堆栈和参数，比如网络请求的具体URL、写入文件的内容片段。另外可以多用分组统计功能，快速找到行为最活跃的进程。

iMonitor冰镜·终端行为分析系统--国产开源的系统监控利器-代码号

Name: iMonitor - 代码号
Author: 原创

软件介绍

评论列表

iMonitor冰镜是一款专业的终端行为监控与分析软件，由深圳市创信长荣网络有限公司开发，基于自研的iMonitorSDK构建。它填补了国内在系统行为监控领域的一个空白，可以看作是微软Sysinternals套件中著名工具Procmon的开源替代品，但在功能和易用性上做了不少本地化的改进和增强。

这款软件的核心价值在于“让系统行为透明化”。很多时候，电脑出现异常——比如莫名妙弹窗、文件被加密、网络流量异常、注册表被篡改——普通用户甚至专业分析人员都很难快速定位问题根源。冰镜就像一个显微镜，实时记录下系统中每一个进程的动作，包括它访问了哪个文件、修改了哪个注册表键值、连接了哪个IP地址、加载了哪个驱动。所有行为都被结构化地展示出来，配合强大的过滤和分组统计功能，用户可以迅速从海量事件中筛选出可疑的操作。

冰镜的设计兼顾了专业性和灵活性。对于安全分析师，它提供了堆栈信息、模块过滤、进程树等深度分析能力，可以用来分析病毒样本的行为特征。对于企业IT管理员，它可以部署在员工电脑上，用于审计软件安装、外设使用、数据外传等行为，防止内部信息泄露。对于普通高级用户，如果怀疑电脑中了木马或者某个软件“不老实”，打开冰镜观察一会儿，基本就能看出端倪。

技术层面，冰镜支持从Windows 7到Windows 11的32位和64位系统，因为依赖的Qt框架版本较新，不再支持Windows XP，但如果有特殊需求，用户也可以自行编译支持XP的版本。它的一大特色是支持JavaScript脚本和插件扩展，这意味着用户不满足现有功能时，可以自己写脚本做定制化分析，或者开发插件实现与他系统的对接。所有监控到的行为，也可以通过配套的iMonitorSDK或另一款产品“冰盾·主动防御系统”进行实时拦截，实现“监控+防御”的闭环。

官网入口地址

官网网址：https://imonitorsdk.com/

产品页（冰镜）：https://imonitorsdk.com/imonitor

备用官网：https://trustsing.com/imonitor/

下载地址

官方直接下载链接（根据系统位数选择）：

64位版本：https://trustsing.com/publish/iMonitor64.exe
32位版本：https://trustsing.com/publish/iMonitor32.exe

项目源代码（开源地址）：https://github.com/wecooperate/iMonitor

功能介绍

1. 多方位系统行为监控

冰镜可以实时监控四大类系统活动：

进程监控：记录进程的创建、销毁、注入、模块加载等。可以清晰看到哪个父进程启动了哪个子进程，这对于分析病毒的链式行为非常关键。
文件监控：记录文件的创建、读取、写入、删除、重命名等操作。当你怀疑勒索病毒在加密文档时，打开文件监控，就能看到是哪个进程在疯狂写入你的.docx和.xlsx文件。
注册表监控：记录注册表键值的查询、修改、删除等操作。很多恶意软件通过修改注册表实现开机自启动或禁用系统功能，冰镜可以精准捕获这些动作。
网络监控：记录TCP/UDP连接、DNS解析、HTTP/HTTPS请求。这是冰镜强于原版Procmon的一个亮点，它能显示网络请求的调用堆栈，甚至支持解密HTTPS流量内容。你可以看到哪个进程在偷偷连接哪个IP地址，上传了什么数据。

2. 强大的过滤与搜索能力

冰镜每天产生的事件量高达数十万甚至百万条，如果没有过滤功能，就像大海捞针。冰镜支持对事件列表中的每一个字段进行过滤，包括进程名、进程ID、操作类型（读/写/删除）、路径、结果（成功/失败）、用户账户、甚至调用堆栈中的特定模块名。你可以组合多个条件，比如“只看svchost.exe进程对注册表的修改操作，且操作失败的”，快速锁定问题所在。

3. 分组统计与快照功能

安全分析经常需要回答“哪个进程读写文件最频繁”“哪个IP发起的连接最多”这类宏观问题。冰镜的“分组统计”功能可以按进程、操作类型、路径等维度对事件进行聚合统计，并以图表形式呈现。这能帮你快速定位异常行为的“重灾区”。“系统快照”功能可以拍摄当前系统状态（如进程列表、网络连接、已加载驱动）的快照，方便前后对比。

4. 堆栈信息定位

这是专业分析的核心功能。当冰镜捕获到一个可疑操作时，它会同时记录下是哪些函数调用链最终触发了这个操作。对于软件逆向工程师和病毒分析师来说，看到堆栈就能直接定位到代码模块，大大缩短了分析时间。

5. 脚本与插件扩展

冰镜支持使用JavaScript编写脚本，实现自动化的行为分析和日志处理。你可以写一个脚本，让冰镜自动标记出所有访问敏感目录（如“我的文档”）且签名无效的进程。插件机制的引入更是让功能扩展变得简单，开发者可以基于iMonitorSDK开发功能更强大的插件，甚至集成到企业内部的态势感知平台中。

6. 高亮与导出

为了提升可读性，冰镜允许用户自定义高亮规则。，你可以设置规则，让所有“失败”的操作显示为红色背景，让所有源自非系统目录的进程事件显示为蓝色字体。分析完成后，所有监控日志可以导出为CSV或XML格式，方便存档或分享给团队他成员。

7. 自定义列与界面布局

不同场景下关注的字段不同。冰镜允许用户自由选择显示哪些列，比如在分析网络行为时重点看“目标IP”和“发送字节数”，在分析文件行为时重点看“文件路径”和“操作结果”。列宽、排序方式、分组模式都可以按个人习惯保存下来。

应用场景

场景一：病毒样本动态行为分析
安全研究人员拿到一个可疑的.exe文件，在隔离环境中运行它，同时启动冰镜进行监控。通过观察冰镜记录下的所有进程、文件、注册表、网络行为，研究人员可以判断该样本是木马、后门、勒索软件还是蠕虫。，看到它创建了自启动注册表项，就是“持久化”；看到它连接了一个C2服务器并下载了第二阶段的载荷，就是“下载者”；看到它遍历并加密.doc文件，就是“勒索软件”。

场景二：Windows应急响应与溯源
当一台服务器或办公电脑被入侵后，应急响应人员可以使用冰镜分析攻击者的遗留行为。通过查看过去一段时间（如果提前部署了冰镜）或实时监控，可以回答：攻击者是通过哪个进程进来的（远程执行？钓鱼文档？）、访问了哪些敏感文件、创建了哪个隐藏用户、植入了哪个服务或计划任务作为后门。

场景三：企业终端行为审计
企业担心员工滥用公司电脑，比如安装与工作无关的软件、通过即时通讯工具外发公司文档、频繁访问特定网站。IT管理员可以在员工电脑上部署冰镜（需符合当地隐私法规并获得员工知情同意），通过设置相应的过滤规则，审计对特定目录（如财务数据文件夹）或特定软件（如网盘客户端）的操作。

场景四：软件逆向与兼容性调试
软件开发者或逆向工程师需要了解一个程序在没有源代码的情况下是如何工作的。可以使用冰镜分析目标程序调用了哪些系统API，访问了哪些注册表项，读取了哪些配置文件。这有助于理解程序逻辑、找出程序崩溃的原因（比如发现它试图写入一个不存在的路径），或者为编写“和谐补丁”寻找关键点。

场景五：排查“流氓软件”和“全家桶”
普通用户发现电脑越来越卡，总是弹出广告，或者浏览器主页被莫名修改。通过冰镜监控一段时间，能揪出幕后的“黑手”——比如一个看似无害的输入法程序，每隔5分钟就检查并修改一次浏览器快捷方式的启动参数，导致主页被锁。确认后就可以精准卸载或删除该程序。