Purity toolsHades A HIDS is designed run on Windows

1. 基于v2.3版本完善数据和新增HIPS功能： v2.3.5: 添加目录(文件夹)IPS保护

• 允许白名单进程操作被保护目录，黑名单进程不允许访问配置目录，黑白保护目录是的独立，但黑白名进程名允许是同一个进程，并不冲突，详细看规则。
• 为了防止目录规则被绕过，被保护的目录(文件夹)不允许被删除和重命名操作。
• 白名单中进程如果被恶意代码注入，将会绕过目录保护规则，有机会配合进程防注组合拳防御或其他方案。

2. Hboat新增规则更新下发: 409 目录规则重载

1. 基于v2.3版本完善数据和新增HIPS功能：

• v2.3.2: 数据采集粒度完善
• v2.3.4: 进程(黑白名单) - 注册表(键值保护_黑白名单)

2. Hboat新增规则更新下发: 407 进程规则重载 - 408 注册表规则重载.

支持Win7~Win11 x32/x64系统

一、部署事项

v2.3 插件版本发行，Windowx下内置Debug测试HadesAgent.exe，模仿Grpc Task下发管理指令 401(用户态监控开启) 403(内核监控开启)，10s之后模拟下发 402(用户态关闭) 404(内核态关闭).

部署详细见大版本更新，大版本HadesAgent.exe带参运行在Windows下，HadesSvc.exe & driver v2.3需要上传至服务器并管理，HboatServer下发指令到HadesAgent.exe分发执行。

二、v2.3描述

Windows正式实现插件化，HadesAgent.exe负责管理HadesSvc.exe.

界面负责状态反馈/展示，不允许手动开启/关闭，HadesAgent统一下发管理，监控状态同步至界面，恶意行为功能拦截弹窗保留。

界面退出不影响HadesAgeng/HadesSvc运行，HadesSvc会检测Agent是否离线，跟随Agent退出。

界面可以主动拉起Debug测试HadesAgent64.exe，仅用来开发调试使用，代码详细见：

Hades-Linux\SDK\transport\export_proto3.go - go build .\export_proto3.go

客户端支持hboat下发指令文档：Documentation/HboatCommand.md

XP系统也是支持，只不过发行版本编译的WDK没有兼容XP，如果有需要可自行使用兼容XP的WDK编译测试。

三、vs2019编译配置(Debug/Release)：

Debug使用MTD，Release使用MT编译，工程依赖lib路径已修改成相对路径：..\HadesSdk\xx\include ..\HadesSdk\xx\lib

HadesSvc不需要管理NuGet GRPC，已被HadesAgent代替。

HadesControl有HpSocket.lib依赖，HadesSvc有ProtoBuf依赖，Hpsocket/ProtoBuf与编译文档:

Documentation/Protobuf_vs2019_build.md  & Documentation/HpSocket_vs2019_build.md

四、驱动事项：

不需要手动安装，下发内核监控403~406自动检测并提示是否安装驱动，点击确认即可自动安装。

驱动没有签名，测试请关闭驱动签名认证或进入Debug/测试系统模式。

cmd执行sc query sysmondriver查询驱动状态，Hboat目前没有下发卸载驱动指令，可以通过cmd: sc stop sysmondriver / sc delete sysmondriver 卸载。

支持Win7~Win10 x32/x64系统

一、安装事项

1. GrpcServer剥离新工程Hboat，可配置client_config连接到目标GrpcServer。内置Win平台测试Hboat.exe，使用方式Hboat.exe grpc，默认开启WebApi:7811接口和GrpcLocalhost:8888，详细见工程。

2. 管理员启动HadesContrl.exe(x32/x64)，连接成功后才可以开启监控和数据上报，只是界面做了规避，采集和上报没有本质的联系。

3. 内核态/行为拦截按钮第一次点击，会提示安装驱动，Driver目录下驱动没有微软签名，系统需要调试模式或者关闭系统签名认证。

二、v2.1描述

1. 客户端协议优化兼容Hboat

2. 内核采集/行为拦截开关分离，允许单独开启内核采集或行为拦截功能。

三、未完善

1. UI按钮点击后可能会有1s~3s卡顿，界面没有做优化，不需重复点击。

2. 自定义进程拦截_自定义注册表拦截_注入/VAD检测拦截还还未有规则配置.

四、vs2019编译配置(Release)：

1. HadesContrl编译需要将SysMonUserlib工程设置MT。

2. HadesSvc编译因NuGet Grpc 是MD运行库，SysMonUserlib工程设置MD，如果自己编译的GrpcLib MT工程，全部MT即可。

支持Win7/Win10 x32/x64系统

一、安装事项

1. 开启GrpcServer，本地有测试使用编译好的Hadeserver.exe，或配置client_config连接到GrpcServer，连接成功后才可以开启监控和数据上报。
2. 管理员启动HadesContrl.exe(x32/x64)。
3. 内核态监控开启第一次会自动安装驱动，driver目录下因驱动没有微软签名，系统需要调试模式或者关闭系统签名认证。

二、v2.0描述

1. 基于Duilib开发UI，托盘、监控按钮、数据展示等功能。
2. 添加进程拦截交互行为，完善GrpcServer上报解析数据，win7/win10系统兼容测试代码重构优化。

三、未完善

1. 恶意行为拦截按钮无效，内核态监控按钮启用就会生效进程拦截，代码中写死了powershell.exe|cmd.exe。
2. 内核态按钮开启/关闭时候可能有卡顿，大概1s~2s，请勿重复点击。

支持Win7/Win10 x64系统

一、安装事项 Driver Install(管理员权限)

1. 因驱动没有微软签名，系统需要调试模式或者关闭系统签名认证。
2. 运行InstDrv.exe，选择driver.sys进行安装和启动。
3. 运行mcfilter.exe程序，打开Dbgview.exe查看监控输出。

二、v1.0描述 v1.0属于单独发行版，仅包含Agent客户端探针。v1.0代码已支持和Server_Grpc非SSL联调，Roorkit接口User接口功能正常，若有需要可下载代码测试修改。

三、存在问题 问题：Dbgview网络事件没有输出，请重新运行mcfilter.exe即可。