-
Junior Member
- Вес репутации
- 62
Программа-ревизор IDSMonitor
Выношу на суд общественности, так сказать... Может быть кому-то пригодится...
Программа-ревизор IDSMonitor.
Программа IDSMonitor работает как ревизор системы.
Она делает "снимки" системы, и затем сравнивает их, показывая изменения пользователю.
По своей сути она является аналогом программы "Kaspersky Inspector".
На настоящий момент программа IDSMonitor делает "снимки":
- файловой системы, включая ADS (NTFS-потоки);
- реестра и его элементов типа "Browser Helper Objects";
- Ini-файлов;
- служб и драйверов;
- процессов.
Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.
Пока я не планирую реализацию сканирования на более низком системном уровне. Но для исключения вышеописанных "неприятных" особенностей работы программы, я разработал систему подключаемых к программе плугинов, которые анализируют логи внешних утилит и добавляют их в "снимки".
На настоящий момент реализован плугин к программе "Rootkit Revealer", ведётся работа над плугином анализа любого CSV-лога любой программы, планируется плугин к программе "AVZ" (если её Автор доработает формат CSV-лога).
Внимание!
Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Я не несу ответственности за возможные сбои работы и потерю информации на Вашей системе, хотя я и постарался минимизировать подобные риски...
(Хотя у меня она работает на 2 различных компьютерах и вроде бы повреждений, наносимых программой, пока замечено не было ;-)
Программа тестировалась на Windows XP, должна работать на Windows 2000 и Windows 2003
Работа под Windows Vista скорее всего не гарантируется...
Взять можно здесь: http://rapidshare.com/files/43781200...nitor.zip.html
Распакуйте архив в любую папку и запустите файл IDSMonitor.exe
Все вопросы задавайте здесь, в форуме...
Оперативности ответов не обещаю, т.к. IDSMonitor - моё хобби (правда, вызванное необходимостью), соответственно времени на него как всегла не хватает...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Программы-ревизоры уже сошли со сцены, к сожалению...
-
-
-
-
Сообщение от
Vorland
Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.
простите, а зачем она тогда нужна?
Сейчас имхо руткит-технологии получают все большее и большее распространение.
А юзать программу, которая это пропускает - why?
-
Можно теоретически поймать руткит, если он еще не активен (уже установлен, но для активации требуется перезагрузка).
Пока вроде не вижу преимуществ перед Ревизором диска AVZ.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 62
Сообщение от
NickGolovko
Можно теоретически поймать руткит, если он еще не активен (уже установлен, но для активации требуется перезагрузка).
Пока вроде не вижу преимуществ перед Ревизором диска AVZ.
Я не писал свой ревизор как конкурент специализированным утилитам типа AVZ и как конкурент ативирусному ПО.
Мне нужен был просто ревизор. Для борьбы с вредоносным ПО я предполагал использовать его в нескольких вариантах:
1) Запуск из под AVZ в режиме противодействия Rootkit и с включенным AVZGuard
2) Использование загрузочного диска типа VistaPE
3) Использование через Plugin-ы логов сторонних программ для поиска Rootkit (типа RKRevealer, AVZ и т.п.)
Первые 2 варианта позволят обнаруживать Rootkit при сравнении 2 "снимков" сканирования, 3 - с использованием мощностей более специализированного ПО.
Есть ещё идея использовать API, предоствляемый программой IceSword...
P.S. Идеальное средства борьбы с Rootkit написать невозможно, и эта работа требует огромного количества времени и серьёзной квалификации. Поэтому я решил использовать ПО, написанное другими более "продвинутыми" разработчиками, а не изобретать велосипед...
-
-