## 目录

展开 / 折叠

1. [理念](#philosophy) 2. [架构](#architecture) 3. [已实现功能](#implemented-features) - [破坏与擦除](#destruction--wiping) - [加密](#encryption) - [Linux — 取证工件清理与伪造](#linux--forensic-artifact-cleanup--forgery) - [Windows — 取证工件清理与伪造](#windows--forensic-artifact-cleanup--forgery) 4. [计划功能](#planned-features) - [嵌入文件元数据投毒](#embedded-file-metadata-poisoning) - [压缩陷阱与归档炸弹](#compression-traps--archive-bombs) - [隐写术蜜罐注入](#steganography-honey-injection) - [其他计划技术](#other-planned-techniques) 5. [构建](#build) 6. [用法](#usage) - [Linux CLI](#linux-cli-satan2_cli) - [Windows CLI](#windows-cli-satan2_win) 7. [威胁模型与检测说明](#threat-model--detection-notes) 8. [许可证](#license) 9. [联系](#contact)

## 理念 SATAN2 是一款专为安全专业人员、Red Teams 和隐私倡导者在授权测试中使用的模块化反取证框架。它结合了四个独立的支柱： | 支柱 | 目标 | |--------|------| | **破坏** | 在硬件、文件系统和块级别消除数据 — 超越任何恢复极限 | | **加密** | 使用多层嵌套加密包裹幸存数据，使残留碎片毫无价值 | | **擦除** | 擦除 OS 级别的取证工件（日志、注册表、日记、浏览器状态、内存） | | **欺骗** | 植入合成工件和误导性载荷，以耗尽和误导分析人员 | SATAN2 不会拖慢取证分析师 — 它会让他们的发现变成虚假的。 ## 架构 ``` satan2/ ├── crates/ │ ├── satan2-crypto/ # Encryption engine (AES/Twofish/Camellia/Kuznyechik XTS, nested containers) │ ├── satan2-core/ # Linux counter-forensics (wiping, artifact cleanup, forgery, disk ops) │ ├── satan2-win/ # Windows counter-forensics (registry, NTFS, event logs, Win artifacts) │ └── satan2-cli/ # Linux CLI entry point (clap-based, wraps satan2-core + satan2-crypto) ├── docs/ │ └── website/ # GitHub Pages landing site └── .github/ └── workflows/ # CI/CD pipelines ``` **平台目标：** - `satan2-cli` → Linux (x86-64, ARM64) - `satan2_win.exe` → Windows 10/11 x86-64 除 OS 提供的实用程序（Windows 上的 `fsutil`、`vssadmin`、`sc`、`schtasks`）外，不需要 Python、shell 脚本或任何外部 runtime 依赖项。 ## 已实现功能 ### 破坏与擦除 | 功能 | 模块 | 备注 | |---------|--------|-------| | **多遍粉碎** | `secure_delete.rs` | 0xFF → 0x00 → 随机 → truncate → unlink；兼容 DoD 5220.22-M / Gutmann / Schneier | | **ATA Secure Erase** | `ata.rs` | 通过 HDPARM ioctls 执行 SECURITY ERASE UNIT + Enhanced Secure Erase；检测冻结状态 | | **NVMe Secure Erase** | `nvme.rs` | Format NVM 命令 (NVMe 1.2+)；支持时使用 Crypto Erase (SES=2) | | **TRIM / Discard** | `trim.rs` | 用于 SSD 空闲空间回收的 BLKDISCARD ioctl | | **文件系统内爆** | `fs_kill.rs` | GPT 主/备份头及条目数组；MBR (512 B)；ext4 主/备份超级块 (稀疏组 1, 3^n, 5^n, 7^n)；XFS AG 超级块；Btrfs 位于 64 K / 64 M / 256 G / 1 P 偏移量的超级块 | | **簇尖与残余空间擦除** | `slack.rs` | 通过 truncate/fallocate 进行逐文件的簇尖清零；填充并删除空闲空间以擦除未分配的块 | | **Swap 擦除** | `swap.rs` | 通过直接块 I/O 对活跃的 swap 分区和 swap 文件进行零填充 | | **RAM / 内存擦除** | `memory_wipe.rs` | mlock + 覆盖堆缓冲区；/proc/self/mem 清零 | | **tmpfs 清理** | `tmpfs.rs` | 擦除并卸载 tmpfs 挂载点；基于 RAM 的临时目录 | | **Volume Shadow Copy 删除** | `vssadmin.rs` (Win) | `vssadmin delete shadows /all /quiet`；删除所有 VSS 快照 | ### 加密 | 功能 | 细节 | |---------|--------| | **算法** | AES-256, Twofish-256, Camellia-256, Kuznyechik-256 (GOST R 34.12-2015) | | **块模式** | XTS (IEEE 1619) — 扇区对齐的磁盘加密 | | **密钥派生** | PBKDF2-HMAC-SHA3-512；可配置迭代次数 | | **哈希** | SHA2-256/512, SHA3-256/512, Blake2b-512, HMAC 变体 | | **多层嵌套加密** | `container.rs` — 三遍加密 → 覆盖 → 重新加密；每层独立的密钥和算法 | | **容器格式** | `SATAN2CV` — 4 KB 加密认证头，可寻址数据区域 | ### Linux — 取证工件清理与伪造 #### 身份验证与访问日志 | 功能 | 模块 | |---------|--------| | 擦除 `/var/log/auth.log`, `/var/log/secure`, `/var/log/audit/audit.log` | `proc_clean.rs` | | 擦除 `/var/log/syslog`, `/var/log/messages`, `/var/log/kern.log` | `proc_clean.rs` | | 擦除并伪造 `wtmp` / `utmp`（伪造登录记录 — `last` 显示干净历史） | `forge_wtmp.rs` | | 擦除并伪造 `/var/log/lastlog`（基于 UID 的登录时间戳，稀疏二进制格式） | `lastlog_forge.rs` | | 擦除 `wtmpdb` (Debian 13+ SQLite 替代 wtmp) | `proc_clean.rs` | | 擦除并通过 `/run/systemd/journal/socket` 向 systemd journal 注入条目 | `forge_journal.rs` | | auditd 日志清理 | `auditd.rs` | #### 系统与包日志 | 功能 | 模块 | |---------|--------| | 包日志清理 (dpkg, apt history, pacman) | `pkg_logs.rs` | | 包日志伪造（合成安装事件） | `pkg_forge.rs` | | 日志文件投毒 — 注入合成噪音条目以耗尽分析师的时间 | `log_poison.rs` | | 日志文件伪造 — 用合理的合成历史替换条目 | `log_forge.rs` | | NetworkManager 连接配置清理 (WiFi 凭据 + 历史) | `proc_clean.rs` | #### 时间戳与文件元数据 | 功能 | 模块 | |---------|--------| | **MACE 时间戳扰乱** — 使用 `utimensat()` 策略：随机合理 (2000–2024)、随机完整、epoch、从参考克隆 | `meta.rs` | | **文件签名掩盖** — 覆盖 magic bytes / 文件头以破坏雕刻 | `meta.rs` | | 扩展属性移除 (SELinux labels, POSIX capabilities, user metadata) | `meta.rs` | #### 浏览器与用户活动 | 功能 | 模块 | |---------|--------| | 浏览器清理：Chrome, Chromium, Brave, Firefox, Opera — History, Cookies, Cache, LevelDB, IndexedDB, Sync Data, Extension State, GCM Store, AutofillStrikeDatabase | `browser_linux.rs` | | 浏览器工件伪造 — 合成历史，伪造网站访问 | `browser_forge.rs` | | Shell 历史擦除 (bash, zsh, fish, ksh) | `proc_clean.rs` | | GNOME 最近文件 (`recently-used.xbel`) | `proc_clean.rs` | | GNOME Tracker / Tracker3 / gvfs-metadata 擦除 | `proc_clean.rs` | | GNOME keyring 清理 | `proc_clean.rs` | #### 基础设施与持久化 | 功能 | 模块 | |---------|--------| | SSH key 清理 + `known_hosts` 擦除 | `ssh_clean.rs` | | SSH key 及配置伪造（合理的伪造密钥材料） | `ssh_forge.rs` | | Docker 跟踪清理（构建缓存、容器日志、镜像元数据） | `docker_cover.rs` | | 网络工件清理 (ARP cache, DNS cache, connection tables) | `net_clean.rs` | #### 审计与验证 | 功能 | 模块 | |---------|--------| | **清理后自我审计** — 枚举残留的取证工件并进行严重性评分 | `self_audit.rs` | ### Windows — 取证工件清理与伪造 #### 执行痕迹 | 功能 | 模块 | |---------|--------| | Prefetch 擦除 (`C:\Windows\Prefetch\`) | `prefetch.rs` | | **伪造 Prefetch 文件** — v30 MAM 格式（通过 `ntdll!RtlCompressBuffer` 进行 XPRESS Huffman 压缩），正确的 Hsieh 哈希，合理的运行次数；原生受 Win10/11 Sysmain 接受 | `forge_prefetch.rs` | | ShimCache (AppCompatCache) 擦除 | `amcache.rs` | | **伪造 ShimCache 条目** — 具有正确 v10 头签名、FILETIME、路径的二进制 blob 注入 | `forge_shimcache.rs` | | Amcache.hve 擦除 + 事务日志 + RecentFileCache.bcf；禁用应用程序体验任务 | `amcache.rs` | | PCA 工件清理 (Win11 22H2+) — `PcaAppLaunchDic.txt`, `PcaGeneralDb*.txt` | `amcache.rs` | | BAM / DAM 擦除 (`bam\State\UserSettings\{SID}\`) | `wipe_bam.rs` | | **伪造 BAM 条目** — FILETIME + 每个值 8 字节填充，合理的 exe 路径 | `wipe_bam.rs` | | UserAssist 擦除（ROT-13 编码的 GUID 子键、运行次数、焦点时间） | `userassist.rs` | | **伪造 UserAssist 条目** — ROT-13 编码路径，合理的 FILETIME + 焦点计数 | `forge_userassist.rs` | | MUI Cache 擦除 + 伪造（每个 exe 路径的 `FriendlyAppName` 值） | `wipe_muicache.rs` | #### 事件日志 | 功能 | 模块 | |---------|--------| | Windows Event Log 擦除 — 通过 `EvtClearLog` 清除所有通道 | `event_log.rs` | | **伪造事件日志条目** — 针对 Security、System、Application、PowerShell/Operational 的合成 EVTX 记录 | `forge_event_log.rs` | #### 注册表与 NTFS | 功能 | 模块 | |---------|--------| | 注册表 MRU 清理 — Run/RunMRU, RecentDocs, OpenSaveMRU, TypedPaths, Comdlg32 | `registry.rs` | | **伪造注册表 MRU** — 合理的输入路径、最近的文档名称 | `forge_registry_mru.rs` | | **$UsnJrnl 擦除** — 在所有固定卷上执行 `fsutil usn deletejournal /D /N` | `ntfs.rs` | | BITS 队列清理 — 停止服务，删除 `qmgr.db` / `qmgr0.dat` / `qmgr1.dat` | `wipe_bits.rs` | | 回收站擦除 | `recycle_bin.rs` | | 缩略图缓存擦除 | `thumbcache.rs` | | Windows Timeline 擦除 (`ActivitiesCache.db`) | `timeline.rs` | | 休眠文件擦除 — `powercfg /h off` + 零填充 | `hiberfil.rs` | #### 搜索与索引 | 功能 | 模块 | |---------|--------| | Windows Search 擦除 — 停止 WSearch，覆盖 `Windows.edb` (Win10 ESE)、`Windows-gather.db` / `Windows.db` + WAL/SHM (Win11 SQLite)；清除 GatherLogs + UWP SearchApp 数据 | `win_search.rs` | #### 浏览器与活动 | 功能 | 模块 | |---------|--------| | 浏览器历史清理 (IE / Legacy Edge / Chrome / Firefox) | `browser_history.rs` | | 伪造浏览器历史注入 | `forge_browser_win.rs` | | LNK / JumpList 擦除 (`Recent\`, `AutomaticDestinations\`, `CustomDestinations\`) | `lnk_jumplists.rs` | | **伪造 LNK 文件** — 完整的 Shell Link 二进制格式，正确的时间戳 | `forge_lnk.rs` | | PowerShell 历史擦除（所有用户的 `ConsoleHost_history.txt`） | `ps_history.rs` | | RDP 工件清理 (MRU, bitmap cache, terminal server client keys) | `rdp.rs` | #### 系统基础设施 | 功能 | 模块 | |---------|--------| | SRUM 数据库擦除 — `SRUDB.dat`（网络使用、应用执行、能耗） | `srum.rs` | | Windows Defender 日志清理 | `defender.rs` | | ETW 会话清理 | `etw.rs` | | 计划任务工件清理 | `schtasks.rs` | | WMI 存储库清理 | `wmi.rs` | | System Restore 还原点删除 | `restore.rs` | ## 计划功能 ### 嵌入文件元数据投毒 计划模块：`exif_forge.rs` — 纯 Rust 实现的 EXIF/XMP/ZIP-XML 重写器，无 `exiftool` 依赖。 | 文件类型 | 可投毒字段 | |-----------|-------------------| | **JPEG / PNG / TIFF / HEIC** | `DateTimeOriginal`, `DateTimeDigitized`, `Make`, `Model`, `Artist`, `Copyright`, `Software`, `GPSLatitude`, `GPSLongitude`, `GPSAltitude`, `GPSImgDirection` | | **PDF** | `Author`, `Creator`, `Producer`, `Subject`, `Keywords`, `CreationDate`, `ModDate` | | **Office (DOCX / XLSX / PPTX)** | `dc:creator`, `cp:lastModifiedBy`, `dcterms:created`, `dcterms:modified`, `cp:revision`, `cp:company` | | **MP4 / MOV** | `©nam`, `©ART`, `©day`, GPS atoms, encoder tag | | **RAW (CR2, NEF, ARW)** | 相机序列号、GPS、快门次数、固件版本 | 模式： - **擦除** — 剥离所有嵌入的元数据 - **随机化** — 替换为生成的合理值（随机位置、常见相机型号、真实的日期范围） - **欺骗** — 注入操作员指定的值（自定义 GPS 坐标、作者姓名、创建日期） ### 压缩陷阱与归档炸弹 计划模块：`trap_archive.rs` | 陷阱类型 | 机制 | 对取证工具的影响 | |-----------|-----------|--------------------------| | **ZIP bomb** (42 KB → 4.5 PB) | 嵌套 DEFLATE 递归（quine 结构）或压缩至约 42 KB 的扁平 4 GB 零填充文件 | `binwalk`, `sleuthkit`, `autopsy` 等提取工具在尝试扩展时挂起 / OOM | | **递归 ZIP** | 包含 ZIP 的 ZIP，层层嵌套...深达 1000 层 | 递归提取器发生 stack-overflow | | **畸形 RAR / 7z / TAR** | 有效的 magic bytes + 随机偏移量处结构无效的头 | 解析器抛出未处理的异常；记录错误但分析中止 | | **ZIP quine** | 展开后等效于自身的自引用归档文件 | 无限循环提取 | | **超大偏移量炸弹** | ZIP 中央目录声称数据位于 0xFFFFFFFF 偏移量 | 解析器寻址至无效地址；导致某些工具发生 segfault | | **损坏但合理** | 有效的 ZIP 头，前 N 个文件的 CRC 正确，其余文件的数据已损坏 | 分析师打开归档，看到看似合法的文件列表，却无法提取证据 | 这些归档将作为诱饵散布在文件系统中。目的不是破坏分析师的系统，而是消耗取证 pipeline 在毫无结果的内容上的时间和资源。 ### 隐写术蜜罐注入 计划模块：`stego_honey.rs` **原理：** 目的是误导，而不是真正的隐蔽通信。将看起来像故意隐写外泄的数据注入到大量普通文件中。 | 载体 | 注入方法 | 注入的“机密” | |---------|-----------------|-------------------| | **JPEG** | Y 通道的 LSB 平面（经典 F5/JSteg 位置） | 随机的类 BASE64 blob，解码后为乱码 | | **PNG** | RGB 通道的 LSB | 以空密钥异或编码的 Lorem ipsum 字节 | | **BMP** | LSB 行 | 无熵的重复 16 字节模式 | | **WAV / MP3** | ID3 标签 + 音频样本的 LSB | 伪造的“加密”载荷（仅 PRNG 输出） | | **PDF** | 隐藏的白底白字文本层、流注释 | 伪造的坐标、伪造的聊天记录 | | **DOCX** | 隐藏的修订跟踪更改、XML 注释 | 看似合理的内部备忘录 | | **ZIP / Office** | 本地文件头中的额外字段字节 | 十六进制编码的“密钥材料”，实际上只是 /dev/urandom | **分析师体验：** 取证工具标记出数十个“检测到隐写内容”的文件。每个文件似乎都包含编码数据。解码产生的内容看似有意义，但在操作上是空洞的。数小时的分析师时间被消耗在死胡同中。 **规模选项：** `--inject-all /path/to/dir` — 遍历目录并将蜜罐注入到每个符合条件的文件中。 ### 其他计划技术 | 技术 | 备注 | |-----------|-------| | 分区方案混淆 | 幽灵分区、误导性的 GPT 签名 — 不同于破坏表格的 `fs_kill.rs`；这是为了伪造表格 | | 未对齐扇区擦除 | 小于 512 字节粒度的写入，以规避硬件级别的映像工具 | | Volume Shadow Copy 投毒 | 创建结构有效但内容损坏的 VSS 快照；当前实现仅支持删除 | | 受限与 Unicode 文件名注入 | RTLO 字符、MAX_PATH 绕过、空字节名称，旨在使取证解析器崩溃 | | 交叉链接文件碎片 | 故意的 inode 交叉链接，以防止在雕刻过程中重组碎片 | | 坏扇区模拟 | 将 LBA 范围标记为已重新分配，以阻止对目标区域的雕刻 | | 磁盘表面噪音生成 | 用 PRNG 填充空闲块，以击败基于熵的雕刻 | | MSIX Virtual Registry Hive 清理 | `%LocalAppData%\Packages\*\SystemAppData\Helium\` — MSIX 应用 MRU 列表在 NTUSER.DAT 中不可见 | ## 构建 ### 前置条件 ``` # Rust 1.75+ rustup update stable # Cross-compile target (从 Linux 到 Windows) rustup target add x86_64-pc-windows-gnu sudo apt install gcc-mingw-w64-x86-64 # Debian/Ubuntu ``` ### 编译 ``` # Workspace check (快速，全平台) cargo check --workspace # Linux binary cargo build --release -p satan2-cli # Windows binary (从 Linux cross-compile) cargo build --release -p satan2-win --target x86_64-pc-windows-gnu ``` ## 用法 ### Linux CLI (`satan2-cli`) ``` SATAN2 — Secure Anti-Forensics and Total Annihilation of iNformation COMMANDS: Destruction: secure-delete Multi-pass wipe (0xFF → 0x00 → rand → unlink) ata-erase ATA Secure Erase (requires unfrozen drive) nvme-erase NVMe Format NVM (Crypto Erase when available) fs-kill Filesystem implosion (GPT/MBR + superblocks) wipe-slack Cluster tip + free-space wipe wipe-swap Zero-fill all active swap Encryption: encrypt Encrypt into SATAN2CV container decrypt Decrypt SATAN2CV container encrypt-layers Triple-layer nested encryption Timestamps & Metadata: timestomp [--strategy random-plausible|random-full|epoch|clone --ref ] mask-signature Overwrite file magic bytes strip-xattr Remove all extended attributes recursively Linux Forensics: wipe-logs Wipe auth.log, syslog, kern.log, audit.log wipe-wtmp Wipe /var/log/wtmp + utmp forge-wtmp --ts-start --ts-end wipe-lastlog Wipe /var/log/lastlog (all UIDs) forge-lastlog --ts-start --ts-end wipe-journal Vacuum systemd journal forge-journal --ts-start --ts-end wipe-browser Wipe Chrome/Chromium/Firefox/Brave/Opera wipe-shell-history Wipe bash/zsh/fish history (all users) wipe-ssh Wipe SSH keys and known_hosts wipe-docker Wipe Docker build cache and logs wipe-pkglogs Wipe dpkg/apt/pacman logs poison-logs Inject noise entries into system logs forge-logs Replace entries with synthetic plausible history audit Post-cleanup residual artifact report OPTIONS: --verbose, -v Verbose output ``` **示例：** ``` # Secure-delete 文件 satan2 secure-delete /home/user/evidence.zip -v # Forge 30 天的伪造登录历史 satan2 forge-wtmp --ts-start 1745107200 --ts-end 1748736000 # 将目录中的所有文件 Timestomp 到合理的 2020–2023 范围内 satan2 timestomp /opt/tools --strategy random-plausible # 完整序列 satan2 wipe-logs && satan2 wipe-journal && satan2 wipe-browser \ && satan2 wipe-wtmp && satan2 wipe-shell-history && satan2 audit ``` ### Windows CLI (`satan2_win.exe`) ``` SATAN2 Windows — counter-forensics toolkit COMMANDS: Destruction: wipe-vss Delete all Volume Shadow Copy snapshots wipe-usn [--vol C:] Wipe $UsnJrnl (default: all fixed volumes) wipe-bits Remove BITS job database wipe-hiberfile Disable hibernation + wipe hiberfil.sys Event Logs: wipe-evtlog Clear all Event Log channels forge-evtlog --ts-start --ts-end Execution Artifacts: wipe-prefetch Delete all .pf files forge-prefetch --n --ts-base [v30 MAM, correct Hsieh hash] wipe-shimcache Delete AppCompatCache value forge-shimcache --n --ts-base wipe-amcache Delete Amcache.hve + PCA artifacts wipe-bam / forge-bam --n --ts-start --ts-end wipe-userassist / forge-userassist --n --ts-base wipe-muicache / forge-muicache --n Registry: wipe-registry Clean MRU keys forge-registry --n --ts-base Browser & User: wipe-browser Wipe IE/Edge/Chrome/Firefox history forge-browser --n --ts-base wipe-lnk Wipe Recent + JumpLists forge-lnk --n --ts-base wipe-ps-history PowerShell history (all users) wipe-rdp RDP MRU + bitmap cache wipe-timeline / wipe-thumbcache System: wipe-search Windows Search index (ESE + SQLite) wipe-srum SRUM database wipe-defender / wipe-wmi / wipe-schtasks One-shot: destroy-all Run all wipe operations forge-all --ts-start --ts-end Plant full fake activity trail OPTIONS: --verbose, -v ``` **示例：** ``` # 全面擦除 .\satan2_win.exe destroy-all --verbose # 在 2025-06-01 之前植入 30 天的伪造活动轨迹 .\satan2_win.exe forge-all --ts-start 1745107200 --ts-end 1748736000 # 伪造取证痕迹：Prefetch + ShimCache + BAM .\satan2_win.exe forge-prefetch --n 15 --ts-base 1748736000 .\satan2_win.exe forge-shimcache --n 20 --ts-base 1748736000 .\satan2_win.exe forge-bam --n 10 --ts-start 1745107200 --ts-end 1748736000 ``` ## 威胁模型与检测说明 | SATAN2 操作 | 残留痕迹 | 防御者缓解措施 | |---------------|----------------|---------------------| | `wipe-usn` | EventID 3079（NTFS 驱动程序），Sysmon EID 1 记录 `fsutil.exe` | 对 `fsutil usn deletejournal` 发出警报 | | `wipe-evtlog` | EID 1102 / 104（Security / System 日志已清除） | 在清除前将 EID 1102 转发至 SIEM | | `wipe-vss` | EID 524，Sysmon 记录 `vssadmin.exe` | 对 `vssadmin delete shadows` 发出警报 | | `ata-erase` / `nvme-erase` | 无（硬件级别） | 扣押前进行磁盘映像；SMART 日志 | | `forge-journal` | 通过 socket 注入在架构上绕过 FSS | 启用 FSS + 基准比较 | | `forge-shimcache` | 修改过的 `AppCompatCache` 二进制 blob | AppCompatCacheParser 基准差异对比 | | `forge-prefetch` (v30 MAM) | 结构有效的 .pf；MFT `$STANDARD_INFORMATION` 时间戳可能与 `$FILE_NAME` 不同 | `$SI.Created < $FN.Created` → timestomp 检测 | | 隐写术蜜罐注入 | 被隐写检测工具标记的文件 | StegDetect / zsteg 输出故意充满噪音 | | 压缩陷阱归档 | 提取工具可能崩溃或挂起 | 对取证解析 pipeline 设置超时和 OOM 限制 | ## 许可证 GNU Affero General Public License v3.0 — 参见 [LICENSE](LICENSE)。

(回到顶部)

## 联系 [](mailto:contact@franckferman.fr) [](https://www.linkedin.com/in/franckferman) [](https://www.twitter.com/franckferman)

(回到顶部)

标签：DNS 反向解析, 反取证, 可视化界面, 子域名变形, 安全评估, 数据加密, 数据销毁, 日志清理, 通知系统