Программа IDSMonitor работает как ревизор системы.
Она делает "снимки" системы, и затем сравнивает их, показывая изменения пользователю. По своей сути она является аналогом программ "Kaspersky Inspector" и "ADInf".
На настоящий момент программа IDSMonitor делает "снимки":
- файловой системы, включая ADS (NTFS-потоки);
- реестра Windows и его элементов типа "Browser Helper Objects";
- Ini-файлов;
- служб и драйверов;
- процессов;
- DACL (списков прав доступа) для вышеперечисленных элементов.
На настоящий момент реализованы плагины ко многим программам (смотри ниже "Ограничения программы").
Список Плагинов, анализирующих CSV Log-файлы программ:
- Nirsoft ServiWin;
- Nirsoft CProcess;
- Nirsoft AdapterWatch;
- NirSoft Alternate Stream View;
- Nirsoft CurrPorts;
- Nirsoft DevManView;
- Nirsoft DiskSmartView;
- Nirsoft DriveLetterView;
- Nirsoft DriverView;
- Nirsoft EventLogSourcesView;
- Nirsoft FileTypesMan;
- Nirsoft GACView;
- Nirsoft InstalledCodec;
- Nirsoft InstalledDriversList;
- Nirsoft MIMEView;
- Nirsoft MyEventViewer;
- Nirsoft NetRouteView;
- Nirsoft NetworkInterfacesView;
- NirSoft NTFS Links View;
- Nirsoft OfficeIns;
- Nirsoft RegDllView;
- Nirsoft ShellExView;
- Nirsoft ShellMenu New;
- Nirsoft ShellMenu View;
- Nirsoft ShortcutsMan;
- Nirsoft URLProtocolView;
- Nirsoft USBDeview;
- Nirsoft UserProfilesView;
- Nirsoft WhatInStartup;
- Nirsoft WinsockServicesView;
- Nirsoft WinUpdatesList;
- SysInternals AutoRuns;
- SysInternals Junctions;
- SysInternals ListDlls;
- SysInternals Logon Sessions;
- SysInternals PipeList;
- Sysinternals RegDelNull;
- SysInternals RootKit Revealer;
- SysInternals Streams;
- SysInternals TCPView;
Список Плагинов, анализирующих сложные Log-файлы программ:
- ADInf32 Log;
- AIDA64 Log;
- AVZ Log;
- HijackThis Log;
- Microsoft Baseline Security Analyzer Log;
Также через Windows-скрипты, программы-утилиты и Плагины делаются "снимки" (смотри ниже "Ограничения программы"):
- Windows Accounts (учетных записей Windows);
- Alternative Browsers JavaScript-Files (Javascript-файлов Интернет-браузеров Firefox и Opera);
- Control Panel Applets (апплетов панели управления);
- Windows Environment Vars;
- Network Shared Resources (открытых сетевых папок);
- Installed Printers (установленных принтеров);
- RPC Endpoints;
- NTFS HardLinks;
- NTFS Links (Junctions и Symlinks);
- HDD NTFS Bad Clusters Information ('Битых' кластеров NTFS-разделов HDD);
- HDD FileSystem Information (записей MBR и Boot Sector для HDD-разделов);
- BIOS and CMOS Information;
Программа осуществляет сканирование системы из режима "User Mode" и с помощью ANSI WinAPI.
Соответственно, это накладывает отпечаток на функционирование программы - например, она бессильна против Rootkit-технологий, не видит Unicode-объекты (а только их ANSI-аналоги), не видит NULL-элементы реестра и т.п.
Пока не планируется реализация сканирования на более низком системном уровне. Но для исключения вышеописанных "неприятных" особенностей работы программы, разработана система подключаемых к программе плагинов, которые анализируют логи внешних утилит и добавляют их в "снимки".
IDSMonitor не является конкурентом специализированным утилитам типа AVZ и антивирусному ПО.
Для борьбы с вредоносным ПО предполагается использование "IDSMonitor" в нескольких вариантах:
1) Запуск из под программы "AVZ" в режиме противодействия Rootkit и с включенным AVZGuard
2) Использование загрузочного диска типа VistaPE (WinPE)
3) Использование через Plugin-ы логов сторонних программ для поиска Rootkit (типа "Rootkit Revealer", "AVZ" и т.п.)
Первые 2 варианта позволят обнаруживать Rootkit при сравнении 2 "снимков" сканирования, 3 - с использованием мощностей более специализированного ПО.
P.S. Идеальное средство борьбы с Rootkit-технологиями создать невозможно, эта работа требует огромного количества времени и серьёзной квалификации. Поэтому применяется ПО, написанное другими разработчиками и хорошо себя зарекомендовавшее, а не "изобретается велосипед" ...
Распакуйте архив в любую папку и запустите файл "IDSMonitor.exe".
Запуск файла "IDSMonitor.exe" с ключем /? выдаст список ключей запуска программы.
При запуске файла "IDSMonitor.exe" с ключами -D -L -RS -SPR произойдет следующее:
- будет создан файл отладочной информации о работе программы;
- будет сохранен лог сканирования системы;
- будет автоматически запущено сканирования системы с созданием "снимков" сканирования.
P.S. После установки программа является "Portable", т.е. её можно перенести в любую папку (желательно не содержащую пробелов в имени папки) и запускать из новой папки (желательно запускать с ярлыка с указанием рабочей папки)
Программа тестировалась в Windows XP, Windows 7
Должна работать (но не тестировалась) в Windows 2000 (не с полной функциональностью) , Windows Server 2003 и Windows Vista.
Должна работать (тестировалась не полностью) в Windows 8 , Windows 8.1 , Windows 10.
Будет работать под Windows Vista , Windows 7 , Windows 8.xx , Windows 10 только под администраторской учетной записью с повышенными привилегиями.
Полностью поддерживается x86-версия Windows и ограниченно x64-версия Windows.
Необходимое минимальное разрешение монитора: 1024 x 768.
Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Автор не несет ответственности за возможные сбои функционирования и потерю информации на Вашем компьютере, хотя было сделано максимум для минимизации подобных рисков...
Рисунок 1. Основное окно программы.
Рисунок 2. Основное окно программы.
Рисунок 3. Окно настроек программы.
Рисунок 4. Окно настроек программы.
НЕТ ПУБЛИЧНЫХ ВЕРСИЙ ( Версия совместима с "Windows XP", "Windows Vista", "Windows 7", "Windows 8.1" и "Windows 10" )
P.S. После установки программа является "Portable", т.е. её можно перенести в любую папку (желательно не содержащую пробелов в имени папки) и запускать из новой папки (желательно запускать с ярлыка с указанием рабочей папки)
Программа может свободно распространяться в том виде, в котором она поставляется, т.е. без каких бы то ни было изменений.
Программа бесплатна для персонального использования. Использование программы в коммерческих целях должно быть согласовано с автором.
Для связи с автором Вы можете:
Просьба откликнуться всех пользователей программы IDSMonitor.
Если Вы пользуетесь программой, напишите автору на E-Mail, указанный в окне IDSMonitor "О Программе", свои пожелания, замечания или просто информацию о том, как Вы используете программу.
От этого будет зависить моё решение, выкладывать или нет новые публичные версии программы.
Эта версия программы содержит только основные плагины. Версия программы со всеми плагинами не является пока публичной. Если кто-либо заинтересован в её использовании, пишите автору на почтовый адрес, указанный в окне IDSMonitor "О Программе".
Рисунок 5. Авторский вариант основного окна программы IDSMonitor версии 1.0.20.3525.1 .
Программа находится в стадии тестирования, поэтому запускайте её только при наличии Backup-а файловой системы и реестра. Автор не несет ответственности за возможные сбои функционирования и потерю информации на Вашем компьютере, хотя было сделано максимум для минимизации подобных рисков...
| Powered by uCoz |