EM DESENVOLVIMENTO ATIVO — V1.7

AGX SHIELD VOLUME ANÔMALO DE DADOS

MONITORAMENTO DE ENDPOINTS

"O que está acontecendo AGORA nos computadores da sua empresa?"
O AGX Shield monitora processos, conexões de rede, volume de dados saindo e comportamento suspeito — sem promessas falsas.

O agente mostra o que pode passar despercebido. Não bloqueia, não esconde. A TI decide.

VER O QUE REALMENTE FAZ SOBRE O PROJETO
agxshield — monitor em tempo real
[08:14:32] MONITOR_VOLUME ▲ ANÔMALO
     'brave' enviou 187MB em 15s para IP 142.250.x (Google)
[08:14:47] MONITOR_SOFTWARE ● CRÍTICO
     'WinSCP' em execução — exfiltração via SFTP
[08:15:02] MONITOR_SMB ● CRÍTICO
     Compartilhamento com permissão TODOS detectado
[08:15:18] MONITOR_BADUSB ● CRÍTICO
     HID desconhecido + PowerShell abriu em 4s
agxshield@prod:~$
60+
SOFTWARES PERIGOSOS DETECTADOS
9
PILARES DE DETECÇÃO
30
PADRÕES POWERSHELL
15s
TEMPO DE ALERTA
100%
FUNCIONA OFFLINE
// O PROBLEMA

O que o antivírus
não consegue ver

Antivírus olham para assinaturas de arquivos. O AGX Shield olha para comportamento.

📤
Funcionário enviando arquivos para Google Drive, Dropbox ou WeTransfer — volume anômalo detectado em segundos
🦹
Pendrives BadUSB se disfarçam de teclado e injetam comandos — o AGX detecta pelo padrão HID + PowerShell
Scripts PowerShell maliciosos com -EncodedCommand, IEX, DownloadString — 30 padrões de ataque monitorados
🌐
Pastas internas compartilhadas com permissão "Todos" — alerta crítico em 15 segundos
📷
Câmera e microfone acessados por processos desconhecidos — o AGX detecta o módulo MFCORE.DLL carregado
🔧
AnyDesk, TeamViewer e RustDesk instalados silenciosamente para acesso remoto não autorizado
⛏️
Mineradores de criptomoeda consumindo recursos da empresa — detectados pela lista de softwares perigosos
⚠️ Importante — o que o AGX Shield NÃO faz:
O AGX Shield NÃO vê o conteúdo de uploads HTTPS (Google Drive, Dropbox, OneDrive).
O tráfego é criptografado dentro do navegador — o que o AGX detecta é o volume anômalo de dados saindo (>50MB em 15s), que é o padrão real de exfiltração de dados por malware.
Uploads pequenos (fotos, PDFs, anexos de email) NÃO geram alerta por design — isso é comportamento normal do usuário.
// OS 9 PILARES DE DETECÇÃO

Monitoramento em
tempo real

Cada pilar detecta uma classe de ameaça que ferramentas convencionais não cobrem.

PILAR 01
INTEGRIDADE DE ARQUIVOS
Monitora criação, modificação, renomeação e exclusão em pastas críticas (Downloads, Temp, Prefetch, etc.). Detecta acesso às credenciais salvas nos browsers (Login Data, Cookies, Local State).
WATCHER HOSTS BROWSERS PREFETCH
PILAR 02
EXFILTRAÇÃO POR VOLUME
LIMITAÇÃO HONESTA: O AGX Shield NÃO vê o conteúdo de uploads HTTPS. O que ele faz: mede bytes enviados por interface de rede e alerta quando um processo envia MAIS DE 50MB em 15 segundos — o padrão real de roubo de dados. Uploads pequenos (fotos, PDFs, emails) NÃO alertam por design.
50MB+ BYTES SENT VOLUME NÃO VÊ CONTEÚDO
PILAR 03
POWERSHELL / CMD SUSPEITO
30 padrões maliciosos: EncodedCommand, IEX, DownloadString, VirtualAlloc, Mimikatz, bypass de política, janela oculta. Detecta macro Office (PowerShell filho de Word/Excel = CRÍTICO).
MIMIKATZ IEX BYPASS MACRO
PILAR 04
BADUSB / HID DETECTOR
Detecta pendrives que se disfarçam de teclado. Base de VID/PID: Hak5 Rubber Ducky, O.MG Cable, Digispark, Teensy. Correlação temporal: HID desconhecido + PowerShell em menos de 30s = CRÍTICO.
RUBBER DUCKY O.MG VID/PID
PILAR 05
MONITOR SMB
Detecta compartilhamentos criados com permissão "Todos", sessões SMB de entrada com contagem de arquivos abertos e movimento lateral entre máquinas via porta 445.
PORTA 445 LATERAL MOVE EVERYONE
PILAR 06
INTELIGÊNCIA DE AMEAÇAS
Cruza cada conexão dos agentes com uma base de mais de 60 mil IPs maliciosos de fontes públicas (URLhaus, Firehol, AlienVault OTX) e consulta a reputação de IP no GreyNoise (scanner, serviço legítimo ou malicioso). Correlaciona agentes: 2 ou mais máquinas no mesmo IP externo suspeito = possível centro de comando (C2). O AGX mostra e alerta — quem bloqueia é o firewall. A TI decide.
60K+ IoCs GREYNOISE CORRELAÇÃO C2 SEM API PAGA
INVENTÁRIO
HARDWARE REAL POR MÁQUINA
Discos físicos por slot com saúde, barramento e capacidade. RAM por slot: fabricante, ECC RDIMM, velocidade. CPU: núcleos físicos, threads, cache L2/L3. Não percentuais — peças reais.
GET-PHYSICALDISK ECC RDIMM WIN32_PROCESSOR
SCANNER
DESCOBERTA DE REDE
Varre a rede local e mostra todos os dispositivos vivos — como o Advanced IP Scanner, mas dentro do AGX e 100% offline. Classifica cada máquina (servidor, agente, gateway ou DESCONHECIDO sem agente) e identifica fabricante e MAC via base OUI da IEEE + Vendor ID do hardware. Exporta JSON como prova e relatório de infra.
OFFLINE IEEE OUI VID HARDWARE SEM AGENTE
DRIVER
DRIVER NÃO ASSINADO
Vigia as pastas de drivers do Windows (System32\drivers e inf). Não importa o nome do arquivo, importa a ASSINATURA: um arquivo .sys, .inf ou .dll sem assinatura digital válida dispara alerta crítico. Cobre a técnica BYOVD — driver vulnerável usado para desarmar o antivírus antes de um ransomware. Drivers legítimos assinados não geram ruído.
BYOVD ASSINATURA KERNEL RANSOMWARE
// INVENTÁRIO DE HARDWARE

Não percentuais.
Peças reais.

O AGX Shield lê o hardware físico de cada máquina e exibe slot a slot, disco a disco. Essencial para compliance, auditoria e planejamento de infraestrutura.

Identifica RAM ECC RDIMM vs UDIMM por slot físico
Detecta discos em controladoras PCI-X e RAID
Soma todos os drives — não apenas C:
Hardware do servidor Linux: CPU, RAM, interfaces de rede
Funciona em VMs VMware, Hyper-V e máquinas físicas
💿 DISCOS FÍSICOS — DESKTOP-FLA2OVU
Samsung M3 Portable931.5GB · USB · Healthy
WD Green 2.5 2TB1863GB · SATA · Healthy
NVMe CT1000P3SSD8931.5GB · NVMe · Healthy
💾 MEMÓRIA — SLOTS FÍSICOS
DIMM_A1 — Hynix16GB 2400MHz ECC RDIMM
DIMM_B1 — Hynix16GB 2400MHz ECC RDIMM
DIMM_C1 — Hynix16GB 2400MHz ECC RDIMM
DIMM_D1 — Hynix16GB 2400MHz ECC RDIMM
🖥️ PROCESSADOR
ModeloXeon E5-2680 v4
Núcleos físicos14C / 28T
Clock2401 MHz
Cache L335840 KB
// VALIDADO EM AMBIENTE REAL

3 agentes simultâneos.
Tudo detectado.

Testado em produção com máquina física X99, VM VMware e máquina com módulo Warsaw bancário.

FileZilla conectando em servidor SFTP externo → CRÍTICO imediato
187MB em 15s para Google Drive (Volume anômalo) → ALTO
Compartilhamento SMB com permissão "Todos" → CRÍTICO em 15 segundos
VM e Warsaw acessando compartilhamento via rede → sessões e arquivos detectados
4 emails WordPress interceptados via sendmail → remetente + assunto capturados
Auto-update silencioso v202605271 → v202605272 com hash SHA256 validado
Desinstalação com 2FA local funciona sem internet → agente não pode ser removido sem código
PowerShell consultando hardware → whitelist funcionando, zero falsos positivos
// ROADMAP

De onde viemos.
Para onde vamos.

BASE + AUTENTICAÇÃO + MONITORES
Fases 1–9.8: servidor Docker, Setup Wizard, Config DB, 2FA, fila offline Store-and-Forward, autodescoberta UDP.
9 PILARES DE DETECÇÃO
Fases 10.1–10.7: volume anômalo de dados, PowerShell/CMD suspeito, BadUSB/HID, SMB agente e servidor, 60+ softwares perigosos.
AUTO-UPDATE + INVENTÁRIO DE HARDWARE
Fases 10.8–10.8c: update silencioso com SHA256, inventário físico por slot em todos os painéis, busca e paginação.
Fase 10.8d–10.9: painel de deploy de nova versão do agente + chave RSA de licença com trial de 2 dias.
MULTI-TENANT
Fase 10.10: cada cliente em container Docker isolado com subdomínio próprio. Escalável para centenas de empresas.
AGENTE LINUX
Fase 10.11: serviço systemd para servidores Linux, WordPress, infraestrutura de TI.
AGENTE ANDROID
Fase 10.12: monitoramento de dispositivos móveis corporativos.
// MODELO DE NEGÓCIO

Para empresas de todos
os tamanhos.

De escritórios de advocacia a bancos. De PMEs sem SOC próprio a instituições governamentais.

🏢
SAAS
VOCÊ HOSPEDA, CLIENTE INSTALA O AGENTE
Agente Windows · Linux · Android
  • Painel multi-cliente na nuvem
  • Instalação em minutos
  • Update automático sem visita
  • 2FA por cliente
🏛️
ON-PREMISES
CLIENTE INSTALA O CONTAINER NO SERVIDOR DELE
Funciona 100% offline · Dados não saem da empresa
  • Container Docker isolado
  • Sem dependência de nuvem
  • Ideal para bancos e órgãos gov.
  • Compliance total de dados
RECOMENDADO
🔬
TRIAL
AVALIE SEM COMPROMISSO
2 dias · Funcionalidade completa
  • Setup Wizard automático
  • Todos os pilares ativos
  • Relatórios completos
  • Sem cartão de crédito
// O CRIADOR

Desenvolvido por
quem vive a TI.

Adilson Gonçalves Ximenes — criador de conteúdo, educador digital e analista de suporte TI com 30 anos de experiência em hardware, servidores, redes e desenvolvimento.

O AGX Shield nasceu da frustração real de quem passou décadas vendo ameaças passarem invisíveis por antivírus e sistemas de segurança convencionais. Um profissional autônomo construindo um produto de nível enterprise — do zero, com conhecimento técnico profundo e persistência.

Produto em desenvolvimento ativo — acompanhe a evolução.

// FAQ

Perguntas
frequentes

O AGX Shield é spyware?
Não — é o oposto. Ele mostra, não esconde: é instalado pela TI com consentimento, tem painel visível e nunca lê o conteúdo digitado ou dos arquivos. Observa comportamentos de risco (volume saindo, conexões, presença humana), não conteúdo. Os dados ficam no servidor do próprio cliente.
Ele bloqueia o vazamento automaticamente?
Não, por decisão de projeto. O AGX testemunha e reporta — não contra-ataca. Um agente que reage sozinho vira uma arma que pode ser virada contra ele. Permanecendo passivo, tem superfície de ataque mínima. Quem investiga e age é a TI. A tecnologia organiza; o profissional interpreta.
Como sabe se foi um humano ou um robô?
O Observador Fantasma detecta presença de input (mouse/teclado) de forma passiva, sem registrar qual tecla foi pressionada. Dados saindo sem ninguém operando a máquina é o "momento do assalto" — e gera alerta.
Funciona com VPN?
Sim. A VPN esconde para onde o dado foi, mas não o volume que saiu da máquina — e o AGX mede na origem. Tráfego volumoso por túnel cifrado, sem humano, é ainda mais suspeito: o destino oculto é em si um sinal.
Rastreia o destino final do dado?
Vê o primeiro destino e o domínio. O destino final após VPN/nuvem está fora do alcance de qualquer ferramenta na máquina — só com ordem judicial sobre os logs do provedor. O AGX produz a evidência inicial que dispara a investigação; a autoridade segue a rota.
Identifica a máquina se ela trocar de IP?
Sim. Registra o MAC (assinatura da placa, que persiste) e o IP real da conexão, não o que a máquina declara. Mesmo trocando de rede, reconhece que é o mesmo endpoint.
E as máquinas sem agente na rede?
O scanner descobre dispositivos em todas as redes que os agentes enxergam e marca quais não têm agente — os pontos cegos, inclusive em sub-redes que o servidor sozinho não alcançaria.
Servidor na nuvem ou local? Onde ficam os dados?
Os dois modelos: SaaS (hospedado) e on-premises (container completo no cliente). O AGX vigia o endpoint — a ponta, onde o vazamento começa. Os dados ficam exclusivamente na infraestrutura do cliente, e a evidência é gravada em tempo real, sobrevivendo mesmo se o malware se autodestruir.
PRODUTO EM DESENVOLVIMENTO ATIVO

ACOMPANHE O DESENVOLVIMENTO.

O AGX Shield está em desenvolvimento ativo, sendo testado e validado em ambiente real. Siga os bastidores do projeto e veja a evolução de cada etapa.

VER NO YOUTUBE INSTAGRAM
agxsystem.com.br | Desenvolvido por Adilson Ximenes