端点管理指南：用于 Windows › 管理端点 › 什么是 CA ControlMinder？ › 检测如何工作？

检测如何工作？

检测是启用 CA ControlMinder 进行监控、跟踪和更改应用程序的执行流的一种方法。 检测会启用 CA ControlMinder 来监控系统进程，在应用程序地址空间中拦截和实施专有模块。

检测进程包括二个阶段：内核检测阶段和用户模式检测阶段。

注意：有关内核和用户模式拦截的更多信息，请参阅“保护帐户”一章。 有关检测的详细信息，请参阅《参考指南》。

以下图表说明检测过程：

在内核检测阶段，CA ControlMinder 执行以下操作：

1. CA ControlMinder 在系统启动时加载检测驱动程序 (cainstrm.sys)。
2. 由于用户或计划操作，则创建新的过程事件。
3. 在固定间隔，检测驱动程序扫描注册表配置单元中检测批准的过程。

   使用检测 ApplyonProcesses 注册表项指定检测批准过程的列表。 有关检测注册表项的详细信息，请参阅《参考指南》。

4. CA ControlMinder 识别新的过程事件时，会搜索批准过程列表中的过程名称。 如果发现，驱动程序会将检测 dll 注入过程地址空间。

在用户模式检测阶段，CA ControlMinder 执行以下操作：

1. 检测 dll 扫描检测注册表配置单元以识别插件，以便加载到进程地址空间里并执行以操作：
   • 将所有列出的插件加载到过程内存地址。 继续步骤 2。
   • 如果没有列出插件，则自己卸载。
2. CA ControlMinder 根据每个插件所包含的特定功能，使用 Microsoft Detours 库执行挂钩过程。

   Microsoft Detours 是检测 Win32 功能的库。 有关 Microsoft Detours 的更多信息，请参阅 Microsoft Detours 网站。