IDSMonitor - Ревизор системы

Программа-ревизор IDSMonitor

Принцип работы:

Программа IDSMonitor работает как ревизор системы.

Она делает "снимки" системы, и затем сравнивает их, показывая изменения пользователю. По своей сути она является аналогом программ "Kaspersky Inspector" и "ADInf".

Возможности программы:

На настоящий момент программа IDSMonitor делает "снимки":
- файловой системы, включая ADS (NTFS-потоки);
- реестра и его элементов типа "Browser Helper Objects";
- Ini-файлов;
- служб и драйверов;
- процессов;
- DACL (списков прав доступа) для вышеперечисленных элементов.

На настоящий момент реализованы плугины к программам (смотри ниже "Ограничения программы"):
- SysInternals Rootkit Revealer;
- SysInternals Autoruns;
- SysInternals TCPView;
- AVZ.

Также через Windows-скрипты, программы-утилиты и плугины делаются "снимки" (смотри ниже "Ограничения программы"):
- учетных записей;
- открытых сетевых папок;
- записей MBR и Boot Sector для HDD-разделов.

Ограничения программы:

Программа осуществляет сканирования системы из режима "User Mode" и с помощью ANSI WinAPI.

Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.

Пока не планируется реализация сканирования на более низком системном уровне. Но для исключения вышеописанных "неприятных" особенностей работы программы, разработана система подключаемых к программе плугинов, которые анализируют логи внешних утилит и добавляют их в "снимки".

Некоторые замечания:

IDSMonitor не является конкурентом специализированным утилитам типа AVZ и антивирусному ПО.

Для борьбы с вредоносным ПО предполагается использование "IDSMonitor" в нескольких вариантах:
1) Запуск из под программы "AVZ" в режиме противодействия Rootkit и с включенным AVZGuard
2) Использование загрузочного диска типа VistaPE (WinPE)
3) Использование через Plugin-ы логов сторонних программ для поиска Rootkit (типа "Rootkit Revealer", "AVZ" и т.п.)

Первые 2 варианта позволят обнаруживать Rootkit при сравнении 2 "снимков" сканирования, 3 - с использованием мощностей более специализированного ПО.

P.S. Идеальное средство борьбы с Rootkit-технологиями создать невозможно, эта работа требует огромного количества времени и серьёзной квалификации. Поэтому применяется ПО, написанное другими разработчиками и хорошо себя зарекомендовавшее, а не "изобретается велосипед" ...

Работа с программой:

Распакуйте архив в любую папку и запустите файл "IDSMonitor.exe".

Запуск файла "IDSMonitor.exe" с ключем /? выдаст список ключей запуска программы.

При запуске файла "IDSMonitor.exe" с ключами -D -L -RS -SPR произойдет следующее:
- будет создан файл отладочной информации о работе программы;
- будет сохранен лог сканирования системы;
- будет автоматически запущено сканирования системы с созданием "снимков" сканирования.

Программа тестировалась на Windows XP, должна работать на Windows 2000 и Windows 2003
Работа под Windows Vista вероятнее всего будет только под администраторской учетной записью.

Внимание!

Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Автор не несет ответственности за возможные сбои функционирования и потерю информации на Вашем компьютере, хотя было сделано максимум для минимизации подобных рисков...