PDA

Просмотр полной версии : Программа-ревизор IDSMonitor



Vorland
19.07.2007, 14:31
Выношу на суд общественности, так сказать... Может быть кому-то пригодится...

Программа-ревизор IDSMonitor.
Программа IDSMonitor работает как ревизор системы.
Она делает "снимки" системы, и затем сравнивает их, показывая изменения пользователю.
По своей сути она является аналогом программы "Kaspersky Inspector".

На настоящий момент программа IDSMonitor делает "снимки":
- файловой системы, включая ADS (NTFS-потоки);
- реестра и его элементов типа "Browser Helper Objects";
- Ini-файлов;
- служб и драйверов;
- процессов.

Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.

Пока я не планирую реализацию сканирования на более низком системном уровне. Но для исключения вышеописанных "неприятных" особенностей работы программы, я разработал систему подключаемых к программе плугинов, которые анализируют логи внешних утилит и добавляют их в "снимки".
На настоящий момент реализован плугин к программе "Rootkit Revealer", ведётся работа над плугином анализа любого CSV-лога любой программы, планируется плугин к программе "AVZ" (если её Автор доработает формат CSV-лога).

Внимание!
Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Я не несу ответственности за возможные сбои работы и потерю информации на Вашей системе, хотя я и постарался минимизировать подобные риски...
(Хотя у меня она работает на 2 различных компьютерах и вроде бы повреждений, наносимых программой, пока замечено не было ;-)

Программа тестировалась на Windows XP, должна работать на Windows 2000 и Windows 2003
Работа под Windows Vista скорее всего не гарантируется...

Взять можно здесь: http://rapidshare.com/files/43781200/IDSMonitor.zip.html
Распакуйте архив в любую папку и запустите файл IDSMonitor.exe

Все вопросы задавайте здесь, в форуме...

Оперативности ответов не обещаю, т.к. IDSMonitor - моё хобби (правда, вызванное необходимостью), соответственно времени на него как всегла не хватает...

ВодкуГлыть
19.07.2007, 15:45
Программы-ревизоры уже сошли со сцены, к сожалению...

Surfer
19.07.2007, 16:20
Им там самое и место =)

Flooter
16.08.2007, 06:35
Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.

простите, а зачем она тогда нужна?
Сейчас имхо руткит-технологии получают все большее и большее распространение.
А юзать программу, которая это пропускает - why? :?

NickGolovko
16.08.2007, 13:09
Можно теоретически поймать руткит, если он еще не активен (уже установлен, но для активации требуется перезагрузка).

Пока вроде не вижу преимуществ перед Ревизором диска AVZ.

Vorland
17.08.2007, 14:44
Можно теоретически поймать руткит, если он еще не активен (уже установлен, но для активации требуется перезагрузка).

Пока вроде не вижу преимуществ перед Ревизором диска AVZ.

Я не писал свой ревизор как конкурент специализированным утилитам типа AVZ и как конкурент ативирусному ПО.

Мне нужен был просто ревизор. Для борьбы с вредоносным ПО я предполагал использовать его в нескольких вариантах:
1) Запуск из под AVZ в режиме противодействия Rootkit и с включенным AVZGuard
2) Использование загрузочного диска типа VistaPE
3) Использование через Plugin-ы логов сторонних программ для поиска Rootkit (типа RKRevealer, AVZ и т.п.)

Первые 2 варианта позволят обнаруживать Rootkit при сравнении 2 "снимков" сканирования, 3 - с использованием мощностей более специализированного ПО.

Есть ещё идея использовать API, предоствляемый программой IceSword...

P.S. Идеальное средства борьбы с Rootkit написать невозможно, и эта работа требует огромного количества времени и серьёзной квалификации. Поэтому я решил использовать ПО, написанное другими более "продвинутыми" разработчиками, а не изобретать велосипед...

Surfer
18.08.2007, 15:56
Про лучший антируткит что-то вспомнилось :)

http://www.rootkits.ru/viewtopic.php?id=210