2024年1月4日发(作者:)
360天擎客户端联动接口说明
1. 概述
360天擎客户端提供一种联动机制,以便与合作厂商设备/系统进行联动。此联动系统由以下三部分组成:
(1) 客户端联动进程:此模块为联动的宿主进程,对应的程序文件存放在; 此联动进程由开机启动的360天擎客户端小助手启动,联动进程启动后加载合作厂商的联动插件;
(2) 合作厂商的联动插件:联动插件对应的文件存放在360safeEntClientLDPlugin厂商名联动插件文件名;此插件的标准接口定义详见SkylarLDPlugin.h,此插件通过调用360天擎客户端联动模块获取上述信息,联动插件dll需加上微软数字签名,否则客户端联动进程不会加载该插件;
联动插件采用注册机制,联动插件需实现标准的DllRegisterServer接口进行注册,注册信息写入如下注册表信息HKEY_LOCAL_MACHINESOFTWARE 360Safe360EntLDPlugin厂商名:
ImagePath: REG_SZ, 联动插件相对路径(相对360safeEntClient的路径);
StartType:REG_DWORD,启动方式 (0表示禁止,1表示启动)
(3) 360天擎客户端联动模块: 此模块存放目录为,具体接口定义详见SkylarClientLD.h;通过此联动模块可获取如下信息:
a) 终端的系统补丁安装情况;
b) 天擎的客户端程序版本、防病毒引擎及病毒库版本;
c) 天擎的实时防护状态;
d) 天擎监控到的网络访问5元组信息(用于分析终端是否在使用QQ、迅雷等网络应用程序);
1.1 联动模块的安装
联动模块通过360天擎的软件分发机制(v3)进行安装,合作厂商提供需把相应的联动模块文件提供给360,由360提供专用的分发包。
1.2 联动模块的升级
合作厂商的联动插件需要升级时把文件提供给360,由360制作升级包,通过360天擎的升级通道进行升级;
1.3 联动模块的卸载
(1) 网络管理员可通过天擎控制中心关闭某个联动模块;
(2) 终端卸载天擎客户端时,所有联动模块也会同时卸载;
2. 360天擎客户端联动模块信息格式说明
360天擎客户端联动模块返回的数据采用json格式,使用utf-8编码。
2.1 获取系统补丁信息(SysQuery:SysVul)
{
"info_type":"sys_vuls",
"sys_vuls":[{
"kb":"漏洞KB编号",
"title":"漏洞名称",
"sec_level":"漏洞等级(5表示高危、4表示严重)"
}]
}
2.2 获取网络连接信息(SysQuery:NetConn)
当终端每发起一个新的网络连接,就产生一条日志,日志通过回调接口通知给调用者,日志格式说明如下:
{
"info_type":"net_conns",
"net_conns":[{
"action_time":"连接发生时间" ,
"username":"终端登录的用户名",
"process_md5":"进程对应文件的md5",
"process_path":"进程对应文件路径",
"command":"进程的命令行参数",
"proto":"网络协议类型(udp/tcp)",
"addr_type":"地址类型,ipv4/ipv6",
"sip":"源IP",
"dip":"目的IP",
"sport":"源端口",
"dport":"目的端口"
}]
}
2.3 获取天擎客户端版本信息,包括程序版本、引擎版本、病毒库版本(AVQuery:Version)
{
"info_type":"version",
"version":{
"product_ver":"程序版本",
"eng_ver_ave":"引擎版本",
"def_ver_ave":"病毒库版本"
}
}
2.4 获取天擎客户端文件实时防护的状态(AVQuery:FileRP)
{
"info_type":"filerp"
"filerp":{
"state"="on/off"
}
}
发布评论