Driver 更新/优化项

• 新的数据传输模块，增强了兼容性

• execve hook 的数据采集过程中有效抑制了大内存的申请

• 优化了 execve hook 中的 socket 采集逻辑，采集过程中屏蔽了无效的 socket

• dns query hook 解决了极端情况下的性能问题，回归

• 新增了mount hook

• 增加了 usb device add and remove notify hook

• vfs 相关的hook增加了 super block id 的采集

• 优化了 prctl 的采集功能，在 newname 与 oldname 相同的情况下不采集该数据

• sandbox 模式下新增了 openat/write/filte inode permission hook

• sandbox 模式下新增了 fake remove file 的功能

• 扩容了 filter whitelist limit

• 修复了多项关于 filter 与 antirootkit 模块相关的bug

• 修复了部分错误的默认值使用的bug(link and rename)

• 提高了 driver 的兼容性，kernel version 支持从 3.10 - 5.4 到 2.6.32 - 5.14，并且增加了对ARM64 架构的支持

• 通过调整不合理的默认 kretprobe maxactive 进一步降低了driver的内存使用

• accept hook IPV6支持及改进

• 代码结构优化，函数命名优化，复用代码优化

• 更新了1.7版本内核模块的预编译ko文件与ko列表：预编译 ko 新增覆盖部分 amzn2 内核，ubuntu-aws 内核

• 兼容EulerOS

Server 更新/优化项

• AgentCenter通信适配PB版本

• Manger适配PB版本，优化部分接口

Agent 更新/优化项

• 重构插件模块，适配pb协议，优化IPC开销，提高插件系统稳定性

• 各项关键性能优化

• 新增网络占用、磁盘占用等数十项性能监控指标

• 正式发布rust、go插件框架，rust插件框架支持json debug模式输出

• 支持dpkg、rpm两种包管理与编译

• 新增elkeidctl工具，支持systemd、sysvinit&cron两种自守护方式

• 增加通过cgroup限制资源的能力

• 支持安装时定义idc，方便区分不同业务/机器来源

• 修改了agent id的计算方法，尽可能保持唯一、固定

• 增强自升级能力的兼容性，目前在主流rhel/debian系发行版都可进行自升级

RASP 更新

• 修复了Golang/CPython 重复注入引起的BUG。

• 弃用旧的 CPython 探针通信方式，改为 Python 编写。

• 支持 1.7 agent 的插件（详情见插件更新）

插件更新

• yara扫描插件

• 适配新插件通信协议

• 新增开源 yara 规则

• 支持动态规则覆盖更新，若规则无效/更新失败，则重置回初始规则

• 支持临时自定义扫描任务下发

• 新增了 RASP 插件

• 主动分析系统进程运行时

• 自定义黑白名单采集项

• 远程控制探针植入目标进程

• 支持与探针进行通信

• driver插件更新

• 增加了动态白名单机制，降低极端情况下的性能占用

• procfs读取频率限制，提升极端情况下的稳定性

• journal_watcher插件更新

• 增强对低版本发行版的支持

• collector插件更新

• 重构定时模块，增强任务调度稳定性

• 增加jar包采集 

发布Elkeidup

支持一键自动化部署高可用 Elkeid

https://github.com/bytedance/Elkeid/tree/main/elkeidup

发布 Elkeid Console 社区版

主机详情

资产详情

告警详情(依赖Elkeid HUB开源策略，仅做示例，不保证准确性与策略覆盖率)

白名单

Agent/Plugin 管理

用户管理

发布 Elkeid HUB 社区版

Elkeid HUB 社区版发布

Github Repo

https://github.com/bytedance/Elkeid

交流群