ExeWatch - monitor plików ".exe" - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Monitorowanie systemu (https://safegroup.pl/forum-12.html) +--- Wątek: ExeWatch - monitor plików ".exe" (/thread-4695.html) |
ExeWatch - monitor plików ".exe" - ichito - 07.05.2012 Chciałem podzielić się kilkoma informacjami na temat ciekawego programu do monitorowania zasobów dysku - to program ExeWatch , a jego zadaniem jest wykrywanie nowych plików z rozszerzeniem .exe . Program jest prywatnym, jednoosobowym projektem autorstwa Svena Faw. Możliwości programu ...opis poszerzam o fragmenty z pliku exewatch.log ,w którym zarejestrowane są wszystkie akcje programu * wykrywa prawidłowo zarówno pojedyncze pliki exe C:\Downloads\enigmavb.exe C:\Downloads\exewatch.exe C:\Downloads\picpick_inst.exe jak i pliki zawarte w folderach np. programów C:\Downloads\1by1\1by1.exe C:\Downloads\Autoruns\autoruns.exe C:\Downloads\Autoruns\autorunsc.exe C:\Downloads\FreeCommander\FcContextMenu64.exe C:\Downloads\FreeCommander\FreeCommander.exe * wykrywa pliki exena dostępnych dyskach/partycjach - chodzi więc nie tylko o dysk systemowy D:\Downloads\20120505-016-v5i32.exe D:\Downloads\ashampoo_winoptimizer_free_1.0.0_sm.exe D:\Downloads\enigmavb.exe D:\Downloads\picpick_inst.exe D:\Services\1by1\1by1.exe * wykrywa pojawianie się takich plików zarówno podczas pobierania z sieci, jak i instalacji...poniżej taki przykład (K9 Web Protection od Blue Coat) - start pobierania C:\DOCUME~1\xxxxxx\USTAWI~1\Temp\s76_pQbC.exe - koniec pobierania i zapis na dysku D:\Downloads\k9-webprotection.exe - początek instalacji C:\DOCUME~1\xxxxxx\USTAWI~1\Temp\k9filter.exe - koniec instalacji i wykrycie wszystkich plików ex e nowego programu C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe C:\Program Files\Blue Coat K9 Web Protection\UIHelper.exe C:\Program Files\Blue Coat K9 Web Protection\uninst.exe C:\DOCUME~1\xxxxxx\USTAWI~1\Temp\k9filter.exe * - poprawnie wykrywa usuwanie plików exezarówno z dysku systemowego, jak i pozostałych C:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dc3.exe C:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dc4.exe D:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dd10.exe D:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dd11.exe i tu jedna uwaga, bo program w takich przypadkach zachowuje się nieco dziwnie...czyżby jakiś błąd? kiedy usuwamy samodzielny plik- taka akcja jest wykrywana kiedy usuwamy folder z plikam i exe- taka akcja nie jest wykrywana Kolejna uwaga...z opinii użytkowników i moich własnych eksperymentów wynika, że program można "oszukać"...to znaczy - nie każde exe musi być wykonywalne i oryginalne...wystarczy zmienić rozszerzenie na exe i taki plik jest również wykrywany Program jest uruchamiany bezpośrednio z pliku i nie wymaga instalacji, a jest niezwykle mały - zaledwie 208 kB . Nie wstawia nic do systemu w autostarcie, bo uruchamiany jest...póki co...na żądanie tylko, a zużycie zasobów to niecałe 5 MB RAM. [Aby zobaczyć linki, zarejestruj się tutaj] Program nie posiada też opcji usuwania plików czy zabijania procesów... i chyba nie musi...a o wykrytym nowym pliku informuje nas krótkim sygnałem dźwiękowym i krótkotrwałym pojawieniem się czterech małych pomarańczowych prostokątów w rogach ekranu. Spis wszystkich sygnalizowanych akcji można podejrzeć w pliku exewatch.log , natomiast aktualne od ostatniej naszej kontroli w oknie programu "View status" ...i jest to jedyne okno programu [Aby zobaczyć linki, zarejestruj się tutaj] A tak w ogóle program jest bardzo sympatyczny i może być świetnym narzędziem uzupełniającym ochronę np. podczas surfowania po internecie zwłaszcza po nieznanych i podejrzanych stronach lub gdy lubimy pobierać różne "dziwne" pliki. Wymagania systemowe: Win XP i W7 (oficjalnie) Wymagania sprzętowe: brak Licencja: donationware (prośba o finansowe wsparcie) Strona programu [Aby zobaczyć linki, zarejestruj się tutaj] Dyskusja na Wildersach[Aby zobaczyć linki, zarejestruj się tutaj] Re: ExeWatch - monitor plików ".exe" - ichito - 08.05.2012 ichito napisał(a):i tu jedna uwaga, bo program w takich przypadkach zachowuje się nieco dziwnie...czyżby jakiś błąd? Wracając to tych spostrzeżeń...jest wytłumaczenie autora programu na ten temat. Sven wyjaśnił, że ExeWatch reaguje na 2 typy zdarzeń: utworzenie pliku .exe i zmianę jego nazwyi to zmiana nazwy jest niejako odpowiedzialna za odmienne zachowanie w przypadku usuwania samodzielnych plików i folderów z plikami: - jeśli usuwamy pojedynczy plik do kosza, to jego nazwa jest zmieniona w związku ze specyficznym zachowaniem/właściwościami systemowego kosza...mamy wtedy alert programu i jest to zachowanie jak najbardziej poprawne - jeśli usuwany jest folder z zawartością, pliki wewnątrz nie mają zmienianych nazw...brak więc reakcji programu...trochę dziwne, ale Windows widać tak ma Cytat: ExeWatch alerts are triggered by 2 particular types of system events: [Aby zobaczyć linki, zarejestruj się tutaj] Re: ExeWatch - monitor plików ".exe" - ichito - 09.05.2012 Dobra wiadomość od Svena Cytat: Version 1.16 is out, with support for USB drives and 2 additional file extensions. The app is still freeware and portable, and should be very stable. A to ze strony programu Cytat: New in 1.16: Added support for BAT and SCR extensions, and removable (USB) drives. Re: ExeWatch - monitor plików ".exe" - ichito - 15.05.2012 Lista zmian w ostatnich wersjach: 1.18- dodano skrót klawiszowy Win-S do uzyskania okna statusu - listy ostatnio wykrytych plików 1.21 Cytat: Version 1.21 has been released, which significantly improves dynamic detection of removable (USB) file systems. 1.25 Cytat: New in 1.25: -t command line switch for alternate (tray pop-up) notifications. Ponadto na blogu Insights in Technology ukazała się bardzo pochlebna recenzja ExeWatch [Aby zobaczyć linki, zarejestruj się tutaj] Re: ExeWatch - monitor plików ".exe" - ichito - 24.05.2012 Kolejne wersje wprowadzające nowe rozszerzenia, skróty klawiaturowe, i tzw. "panic mode" - w tym trybie niebezpieczne rozszerzenie jest zamieniane z definicji na rozszerzenie .OFF Cytat: [Aby zobaczyć linki, zarejestruj się tutaj] Re: ExeWatch - monitor plików ".exe" - ichito - 15.02.2013 Po ponad pół roku Sven wypuścił kolejną wersję programu oznaczoną 1.30 . Lista zmian Cytat: New in 1.30: [Aby zobaczyć linki, zarejestruj się tutaj] Funkcja dodania do autostartu się nareszcie pojawiła, bo trzeba było troszkę gimnastyki, żeby program startował z systemem...można to było zrobić na różne sposoby, ale najprościej trzeba było stworzyć skrót np. na pulpicie, a potem przeciągnąć go do folderu Autostart w Menu Start...czasem skrót ucieka w takich momentach spod myszkiRe: ExeWatch - monitor plików ".exe" - ichito - 15.03.2015 Minęło 2 lata i jest kolejna wersja programu, której zasadniczą nową opcją jest dodanie funkcji listy lokalizacji wykluczonych z monitoringu...jest ona w formie pliku tekstowego w folderze programu. Nowa wersja ma numer 1.33 Cytat:New in 1.33: Path-based exclusion list. See exclusions.txt sample file.Ponadto autor przestał rozwijać swoje programy samodzielnie i teraz wszystkie one są pod egidą grupy autorów o nazwie L303. Z widocznych różnic...zmiana ikonki...ale ta poprzednia chyba jakoś bardziej mi pasowała Strona ExeWatch i L303 [Aby zobaczyć linki, zarejestruj się tutaj] Re: ExeWatch - monitor plików ".exe" - ichito - 22.03.2015 Kolejna wersja i nowa możliwość - skanowanie na VT Cytat:I''ve just released a new update (1.34), which fixes detection of BAT files and adds a new feature: press Windows+V to quickly check the last detected executable with VirusTotal (courtesy of the BlitzVT library): [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] |