Программа IDSMonitor работает как ревизор системы.
Она делает "снимки" системы, и затем сравнивает их, показывая изменения пользователю. По своей сути она является аналогом программ "Kaspersky Inspector" и "ADInf".
На настоящий момент программа IDSMonitor делает "снимки":
- файловой системы, включая ADS (NTFS-потоки);
- реестра и его элементов типа "Browser Helper Objects";
- Ini-файлов;
- служб и драйверов;
- процессов;
- DACL (списков прав доступа) для вышеперечисленных элементов.
На настоящий момент реализованы плугины к программам (смотри ниже "Ограничения программы"):
- SysInternals Rootkit Revealer;
- SysInternals Autoruns;
- SysInternals TCPView;
- AVZ.
Также через Windows-скрипты, программы-утилиты и плугины делаются "снимки" (смотри ниже "Ограничения программы"):
- учетных записей;
- открытых сетевых папок;
- записей MBR и Boot Sector для HDD-разделов.
Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.
Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.
Пока не планируется реализация сканирования на более низком системном уровне. Но для исключения вышеописанных "неприятных" особенностей работы программы, разработана система подключаемых к программе плугинов, которые анализируют логи внешних утилит и добавляют их в "снимки".
IDSMonitor не является конкурентом специализированным утилитам типа AVZ и антивирусному ПО.
Для борьбы с вредоносным ПО предполагается использование "IDSMonitor" в нескольких вариантах:
1) Запуск из под программы "AVZ" в режиме противодействия Rootkit и с включенным AVZGuard
2) Использование загрузочного диска типа VistaPE (WinPE)
3) Использование через Plugin-ы логов сторонних программ для поиска Rootkit (типа "Rootkit Revealer", "AVZ" и т.п.)
Первые 2 варианта позволят обнаруживать Rootkit при сравнении 2 "снимков" сканирования, 3 - с использованием мощностей более специализированного ПО.
P.S. Идеальное средство борьбы с Rootkit-технологиями создать невозможно, эта работа требует огромного количества времени и серьёзной квалификации. Поэтому применяется ПО, написанное другими разработчиками и хорошо себя зарекомендовавшее, а не "изобретается велосипед" ...
Распакуйте архив в любую папку и запустите файл "IDSMonitor.exe".
Запуск файла "IDSMonitor.exe" с ключем /? выдаст список ключей запуска программы.
При запуске файла "IDSMonitor.exe" с ключами -D -L -RS -SPR произойдет следующее:
- будет создан файл отладочной информации о работе программы;
- будет сохранен лог сканирования системы;
- будет автоматически запущено сканирования системы с созданием "снимков" сканирования.
Программа тестировалась на Windows XP, должна работать на Windows 2000 и Windows 2003
Работа под Windows Vista вероятнее всего будет только под администраторской учетной записью.
Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Автор не несет ответственности за возможные сбои функционирования и потерю информации на Вашем компьютере, хотя было сделано максимум для минимизации подобных рисков...
Рисунок 1. Основное окно программы.
Рисунок 2. Основное окно программы.
Рисунок 3. Окно настроек программы.
Рисунок 4. Окно настроек программы.
( Программа бесплатна для персонального использования )
IDSMonitor : Версия 1.0.5.872 + Основные плугины ( 5,466 Кб )
P.S. Эта версия программы не является последней. Последняя версия программы на декабрь 2011 года - 1.0.18.2145. Эта версия не является пока публичной. Если кто-либо заинтересован в её использовании, пишите автору на почтовый адрес, указанный в окне IDSMonitor "О Программе".
Изменений в программе множество, из основных: появилась поддержка Windows 7, новые плугины и т.д.
Рисунок 5. Авторский вариант основного окна программы IDSMonitor версии 1.0.18.2145 .
Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Автор не несет ответственности за возможные сбои функционирования и потерю информации на Вашем компьютере, хотя было сделано максимум для минимизации подобных рисков...
|
Если вам необходим почтовый аккаунт, тогда почта на Qip.ru - ваш выбор. Для хранения фото и видео рекомендуем бесплатный фотохостинг - Photo.Qip.ru. Для студентов и абитуриентов: крупнейшая библиотека рефератов и сочинений - 5ballov.Qip.ru |
| Сайт размещен на бесплатном хостинге - Hosting.Qip.ru. |