Показано с 1 по 7 из 7.

Программа-ревизор IDSMonitor

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2007
    Сообщений
    7
    Вес репутации
    39

    Программа-ревизор IDSMonitor

    Выношу на суд общественности, так сказать... Может быть кому-то пригодится...

    Программа-ревизор IDSMonitor.
    Программа IDSMonitor работает как ревизор системы.
    Она делает "снимки" системы, и затем сравнивает их, показывая изменения пользователю.
    По своей сути она является аналогом программы "Kaspersky Inspector".

    На настоящий момент программа IDSMonitor делает "снимки":
    - файловой системы, включая ADS (NTFS-потоки);
    - реестра и его элементов типа "Browser Helper Objects";
    - Ini-файлов;
    - служб и драйверов;
    - процессов.

    Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
    Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.

    Пока я не планирую реализацию сканирования на более низком системном уровне. Но для исключения вышеописанных "неприятных" особенностей работы программы, я разработал систему подключаемых к программе плугинов, которые анализируют логи внешних утилит и добавляют их в "снимки".
    На настоящий момент реализован плугин к программе "Rootkit Revealer", ведётся работа над плугином анализа любого CSV-лога любой программы, планируется плугин к программе "AVZ" (если её Автор доработает формат CSV-лога).

    Внимание!
    Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Я не несу ответственности за возможные сбои работы и потерю информации на Вашей системе, хотя я и постарался минимизировать подобные риски...
    (Хотя у меня она работает на 2 различных компьютерах и вроде бы повреждений, наносимых программой, пока замечено не было ;-)

    Программа тестировалась на Windows XP, должна работать на Windows 2000 и Windows 2003
    Работа под Windows Vista скорее всего не гарантируется...

    Взять можно здесь: http://rapidshare.com/files/43781200...nitor.zip.html
    Распакуйте архив в любую папку и запустите файл IDSMonitor.exe

    Все вопросы задавайте здесь, в форуме...

    Оперативности ответов не обещаю, т.к. IDSMonitor - моё хобби (правда, вызванное необходимостью), соответственно времени на него как всегла не хватает...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ВодкуГлыть
    Регистрация
    08.05.2006
    Адрес
    Омск
    Сообщений
    399
    Вес репутации
    132
    Программы-ревизоры уже сошли со сцены, к сожалению...
    Быстро, Качественно, Дёшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    497
    Им там самое и место =)

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    47
    Цитата Сообщение от Vorland Посмотреть сообщение
    Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
    Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.
    простите, а зачем она тогда нужна?
    Сейчас имхо руткит-технологии получают все большее и большее распространение.
    А юзать программу, которая это пропускает - why?

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Можно теоретически поймать руткит, если он еще не активен (уже установлен, но для активации требуется перезагрузка).

    Пока вроде не вижу преимуществ перед Ревизором диска AVZ.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  7. #6
    Junior Member Репутация
    Регистрация
    18.07.2007
    Сообщений
    7
    Вес репутации
    39
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Можно теоретически поймать руткит, если он еще не активен (уже установлен, но для активации требуется перезагрузка).

    Пока вроде не вижу преимуществ перед Ревизором диска AVZ.
    Я не писал свой ревизор как конкурент специализированным утилитам типа AVZ и как конкурент ативирусному ПО.

    Мне нужен был просто ревизор. Для борьбы с вредоносным ПО я предполагал использовать его в нескольких вариантах:
    1) Запуск из под AVZ в режиме противодействия Rootkit и с включенным AVZGuard
    2) Использование загрузочного диска типа VistaPE
    3) Использование через Plugin-ы логов сторонних программ для поиска Rootkit (типа RKRevealer, AVZ и т.п.)

    Первые 2 варианта позволят обнаруживать Rootkit при сравнении 2 "снимков" сканирования, 3 - с использованием мощностей более специализированного ПО.

    Есть ещё идея использовать API, предоствляемый программой IceSword...

    P.S. Идеальное средства борьбы с Rootkit написать невозможно, и эта работа требует огромного количества времени и серьёзной квалификации. Поэтому я решил использовать ПО, написанное другими более "продвинутыми" разработчиками, а не изобретать велосипед...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    497
    Про лучший антируткит что-то вспомнилось

    http://www.rootkits.ru/viewtopic.php?id=210

Похожие темы

  1. Ответов: 11
    Последнее сообщение: 12.04.2012, 13:47
  2. Что это за программа?
    От Сибиряк в разделе Сетевые атаки
    Ответов: 9
    Последнее сообщение: 15.04.2005, 12:02
  3. Ревизор диска ADinf
    От SDA в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.03.2005, 20:46
  4. Программа DSO fix
    От kps в разделе Другие программы по безопасности
    Ответов: 32
    Последнее сообщение: 15.12.2004, 15:24
  5. The Nicks Ghost Buster - ревизор диска
    От kps в разделе Антивирусы
    Ответов: 3
    Последнее сообщение: 09.11.2004, 18:41

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00140 seconds with 16 queries