Antivírus blog

vírusok, férgek, botnetek, kártevők

Bigyó felügyelő: ESET SysInspector

2007. december 04. 12:31 - Csizmazia Darab István [Rambo]

Az ESS (ESET Smart Security) komplett védelmi csomagja mellé érkezett még egy újdonság is: egy SysInspectornak nevezett diagnosztikai program, amely ugyancsak érdekes dolgokra képes. A 32 és 64 bites Windows rendszerekhez készült, és telepítés nélkül futtatható a SysInspector.exe állomány indításával, majd a gép teljesítményétől függően 1-2 perces várakozás (tesztelési ciklus) után egy szép, Vista stílusú ablak jelenik meg.



Az adott rendszer szoftver- és hardverkörnyezetéről minden részletre kiterjedő információkat jelenít meg egy fastruktúrában, az alábbi csoportosítás szerint:

- futó folyamatok (Process)
Ez a csomópont részletesen kibontja a futó folyamatok és alkalmazások listáját.


Ebben a hivatkozott DLL könyvtárak is fel vannak tüntetve

- hálózati kapcsolatok (Network Connections)
Itt kapunk egy listát azokról az alkalmazásokról, amelyek TCP vagy UDP protokollon keresztül hálózati forgalmat bonyolítanak le, valamint ellenőrizhetjük az aktuális DNS (Domain Name System) szerver beállításokat is.

- fontosabb Registry bejegyzések (Important Registry Entries)
Ezek közül elsőként az automatikus végrehajtással kapcsolatos (autostart) részek szerepelnek, de a listában található minden lehetséges támadási célpontot jelentő, a belépéssel (Winlogon), a BHO-val (Browser Helper Object), az Internet Explorerrel, stb.  kapcsolatos információ is.

- szervizfolyamatok (Services)

Megjelenít minden szervizkent (service) futó folyamatot.


A Microsoft Windows futó folyamatai az 1-es kategórában eveznek

- eszköz meghajtóprogramok (Drivers)
Kilistázza az összes szoftver és harver illesztő programot, verziószámmal, gyártóval, dátummal, stb.

- kritikus Windows állományok (Critical Files)
Ebbe a csoportba a win.ini, system.ini és a hosts fájlok tartoznak. A Win.ini és a System.ini manipulálásával például az autostart folyamatokat lehet manipulálni, míg a host állomány módosításával elérhető, hogy bizonyos weboldalak ne működjenek. Az ilyen átirányításokkal egy támadó például megakadályozhatja a biztonsági programok frissítéseit, de az adathalászok is szokták a hosts mérgezését alkalmazni arra, hogy egy megbízható webhely helyett egy másik URL-re térítsék az áldozat böngészőjét.

- részletes rendszerinformáció (System Information)
Itt az operációs rendszer adatai, környezeti változói, a feltelepített szoftverek és frissítési csomagok listája, a bejelentkezett felhasználók adatait és jogosultságait  szemrevételezhetjük.

- fontosabb rendszerfájlok (File Details)

Ebben a csoportban pedig a főbb rendszerfájlok, telepített végrehajtható állományok részletes információit találjuk.


Itt ráncolja a homlokát, mert a StartupMonitor fontos rendszerváltozókkal kerül kapcsolatba, és az alkalmazás egyelőre ismeretlen számára.

Az adatok megjelenítésénél többféle szűrési lehetőséggel is rendelkezünk: a teljes adatmennyiséget a FULL módban, egy közepes információhalmazt a MEDIUM, míg egy szűk összefoglalót a BASIC módban kaphatunk. Emellett a különféle bejegyzések különbözö, egy kilencfokozatú veszélyességi skálán szereplő értékhez tartozó számot viselnek. A 100%-osan ismert, közismert és megbízható állomány, folyamat, elem kapja az 1-es besorolást, a biztonságosnak tűnő, de ismeretlen az 5-ös számmal van jelölve, míg az ismert, de kártékony objektumok a nagyon veszélyes, 9-es csoportba kerülnek. Ezt a kilenc csoportot is ki lehet listázni, vagyis vadászhatunk a különféle veszélyeztettséget jelentő elemekre is. És emellett természetesen ott van a szabad szavas keresés, ahol egy beírt kereső szó minden előfordulását vizsgálhatjuk.



Bár hasonló programok régóta léteznek már, hogy csak az ismertebbeket említsük: Sysinternals Autoruns és ProcessMonitor, Stop Startup Monitor, Hijackthis, SIW System Info for Windows, stb., mindenesetre az ESET SysInspector kártékony programok vizsgálatához egy jól összeállított és hadrafogható univerzális eszköznek látszik a kártevő ellenes harcban.



A fejlesztők még a parancsori futtatást kedvelő powerusereket és rendszergazdákat sem felejtették ki a számításukból: a program GUI nélkül, a commandline-ból is indítható egyedi  kapcsolókkal, és képes XML vagy ZIP állományba különféle tartalmú riportokat generálni, és ezeket utólagosan is lehet elemezni, illetve elküldhetők további vizsgálatra.



A futtatáshoz valóban minimális rendszerkövetelmények társulnak: 32 vagy 64 bites Intel vagy AMD processzor, NT alapú (2000, XP, Vista, Server 2003) operációs környezet, 35 MB memória, illetve 2 MB szabad hely a merevlemezen. A program egyelőre még béta állapotban van, de hamarosan megjelenik a végleges angol nyelvű változata, amelyet az ESET vásárlói számára ingyenesen bocsát rendelkezésre.
Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr46251763

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.