Материал просмотрен 296 раз(а)

Очень хотелось бы поведать об одном классе программ, который может значительно повысить безопасность работы на компьютере. Каким образом? Всё просто:

  1. Программа делает “снимок” текущего состояния диска, то есть список всех файлов и их контрольные суммы;
  2. В произвольный момент времени пользователь может сделать сравнение текущего состояния системы с одним из снимков, чтобы выявить различия. Какие файлы были созданы, какие модифицированы, какие удалены.

В качестве ревизора я использовал старую программку Adinf32, но она весьма устарела (поддерживаемые версии до Windows XP). Но эти же функции включает в себя инструмент AVZ4, который мы, кажется, уже как-то использовали.

Запускаем AVZ4

Данную программу можно использовать для различных целей, но в рамках данной статьи мы воспользуемся только ревизором диска.

1

Запускаем ревизор

Воспользуемся главным меню: Файл – Ревизор.

2

Выбираем точки наблюдения

Отмечаем все каталоги, в которых нужно мониторить изменения. Потенциально это те каталоги, которые не должны изменяться без вашего ведома. Не рекомендую указывать корни системных разделов, потому что будет очень много срабатываний различных временных файлов, кустов реестра, кэша и т.д. А вот различные каталоги веб-сервера, папки с драйверами, системными dll и программами можно поставить на контроль.

Тут же и задаётся тип файлов-исключений
3

Сравниваем снимки

Выбираем “Файл”-эталон, с которым нужно сравнить текущее состояние системы на вкладке “Сравнение диск <> база”. Вообще, эталонный файл лучше хранить в надёжном месте, но мы для простоты оставили его в каталоге по умолчанию. Нажимаем кнопку “Пуск”.

4

Смотрим протокол

Открываем вкладки “Протокол” или “Найденные отклонения” и видим все изменившиеся файлы. На самом деле я лишь удалил архив avz4.zip с рабочего стола. Это изменение не осталось незамеченным. Второе изменение – изменился размер файла-снимка – я его оставил на рабочем столе тоже ).

6

Вообще, протоколы изменений нужно смотреть достаточно внимательно, дабы не пропустить что-то важное. Кстати, под Linux есть похожая программа, которая мне, к счастью, нравится больше – Tripwire.