Tiny Watcher - wykrywanie zmian w systemie
#1
Chciałbym zaanonsować ciekawy i przydatny program o nazwie Tiny Watcher . Program nie jest HIPSem/blokerem, więc może zawiodę niektórych forumowiczów, ale jest bardzo skutecznym programem do monitorowania zmian zachodzących w szczególnie wrażliwych obszarach systemu. Ich lista poniżej
- stale działające procesy
- procesy ładowane z systemem
- klucze rejestru związane z autostartem
- klucze rejestru związane z usługami
- inne wrażliwe klucze rejestru
- wrażliwe lokalizacje systemu (c:\, Windows directory, "system32" directory, itp.)
- inne wrażliwe pliki
- zaplanowane zadania
Program jest nieskomplikowany i prosty w obsłudze, ale jak pisze sam autor nie jest przeznaczony dla początkujących użytkowników - jest dla użytkowników, którzy znają raczej swój system, ponieważ informuje on tylko o zmianach w chronionych obszarach niczego przy tym nie sugerując, a decyzję co działania pozostawia użytkownikowi.Program nie ma żadnych sygnatur, aktualizacji z tym związanych, nie daje też żadnych sugestii na temat reputacji wykazanej zmiany - daje jedynie w tym względzie możliwość wyszukania informacji w sieci na temat interesującego nas procesu/zmiany.
Najprościej zacytować będzie ZA i PRZECIW wylistowane przez autora na stronie programu
ZA
Cytat: It is small:Uses tiny resources on your machine. Runs fast, and only when you request it.
It is complete:Detects most of the changes that can happen in your system. No need for updates or upgrades.
It is configurable:Various settings can be modified to suit your needs. You can edit the list of directories and registry keys that are monitored, decide which files will be checked, etc.
It is free:Just download, install, and use as long as you want. No adware, no spyware.
It works:Tiny Watcher has been tested and bugfixed with care.

PRZECIW
Cytat: Detects changes afterward:It will not prevent your system from being modified or corrupted. It will only tell you that something suspicious happened. Think of it as an early CAT scan against system tumors.
No automatic cleanup feature:There is no "Fix that for me" button or other magic feature. You have to search the Web by yourself for specific information about a problem, and then do your own cleanup.
Not a novice tool:Tiny Watcher does not tell you when a change is "normal". If you understand little about how a computer works, Tiny Watcher is probably not good for you. Messages will probably make you worry for nothing.

Jak opisać najkrócej działanie TinyWatcher...
- program zaraz po instalacji wykonuje "bazowy" skan i tworzy migawkę (zrzuty ze strony programu)

[Aby zobaczyć linki, zarejestruj się tutaj]

- jej wynik w postaci listy dostajemy w oknie programu i naszym zadaniem jest teraz zweryfikowanie tej listy - podświetlenie wpisu pokazuje nam w dolnej części okna szczegóły, a do wyboru jakiejś akcji mamy przyciski
Web search uruchamia domyślną przeglądarkę z wpisaną nazwą procesu w polu wyszukiwania
Helpuruchamia plik pomocy (tak samo klawisz F1)
Explorerotwiera spodziewaną i możliwą lokalizację wpisu
Registryotwiera edytor rejestru z kluczem do danego wpisu
Servicesotwiera systemowe narzędzie ze spisem usług
Confirm alljest równoznaczne z zaznaczeniem wszystkich wpisów i ich zatwierdzeniem jako zaufane
Confirmpotwierdza tylko zaznaczony wpis
Disablewyłącza uruchamianie wskazanego procesu - jeśli jest to np. wpis autostartu i tym samym dokonujemy zmiany rejestru, to jest to akcja odwracalna i dostępny będzie nie zawsze widoczny przycisk Enable
Removejeśli jest widoczny, oznacza że możemy usunąć fizycznie daną/wskazaną lokalizację (przenoszona jest do kosza) i tu uwaga - za wyjątkiem plików i tzw. "directories" akcja ta jest nieodwracalna i lepiej użyć przycisku "Disable"
Volatilejest dostępny w przypadku, kiedy plik jest okresowo zmieniany (np. aktualizacje AV czy innych programów) - oznaczenie go w ten sposób powoduje, że TW nie monitoruje go już i nie pokazuje jego zmian

[Aby zobaczyć linki, zarejestruj się tutaj]


- po każdym uruchomieniu systemu (opcja startu z systemem jest do ustawienia) podczas jego ładowania program skanuje system i wyrzuca w oknie wszystkie zmiany w porównaniu do skanu bazowego
- podobnie możemy otrzymać okno z wykrytymi zmianami, jeśli wykonamy skan kontrolny na żądanie.

[Aby zobaczyć linki, zarejestruj się tutaj]

I to by było na tyle Smile


OK...no dobra, to nie wszystko...program ma oczywiście swoje opcje, w których możemy określić m.in
- ładowanie TW z systemem
- szybkość skanowania (100 oznacza najszybciej, 1 najwolniej)
- mechanizm szukania w sieci
- typy plików zmiennych (tzw. "volatile" - było o nich wyżej)
- typy plików pomijanych
- pasek postępu skanowania podczas startu systemu

[Aby zobaczyć linki, zarejestruj się tutaj]


Poza tym program ma dodatkowo możliwość dokładania własnych lokalizacji zarówno odnośnie kluczy rejestru, jak i plików czy folderów na dysku, co może zwiększyć bezpieczeństwo systemu i naszych danych, ale równocześnie niesie większą ilość wykrywanych zmian...widać to szczególnie podczas pierwszego skanu po załadowaniu własnej listy chronionych lokalizacji...jest co przeglądaćCool
Kilka informacji technicznych:
- program uruchamiany jest tylko w trakcie ładowania systemu i podczas wymuszonego skanu, więc nie obciążą zasobów...poza wydłużonym nieco startem systemu nie widać go wcale
- może więc niektórym przeszkadzać wydłużając ten start
- znany jest od wielu lat i polecany wciąż jako znakomite i skuteczne narzędzie uszczelniające i wzmacniające ochronę systemu i danych
- obsługuje lokalizacje angielską i francuską
- oficjalnie wspiera
Cytat: Windows, all versions (XP and above, 2000, NT, ME/98/95)

ale po edycji własnych lokalizacji nadaje się również na Vistę, Win7 a nawet na systemy 64-bitowe
Strona programu - bardzo bogata we wszelkie wyjaśnienia, dodatkowe i bardzo nawet szczegółowe wyjaśnienia

[Aby zobaczyć linki, zarejestruj się tutaj]

Wątki na Wildersach z dodatkowymi informacjami i wskazówkami

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Czyli to bardziej taki HIDS, jak Winpatrol.
Odpowiedz
#3
Tak Eugeniusz...to IDS, ale wg mnie bardziej konfigurowalny niż WP...przynajmniej w tym, co program robi, bo nie ma aż tylu funkcji Smile Jak mogłem zaobserwować ludzie mają ten program pomimo używania HIPSów, LUA, SRP, piaskownic, itp.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Historia dość niezwykła Smile Autor programu po kilku latach najprawdopodobniej wraca do aplikacji i planuje wersję 2.0, o czym na Wildersach

Cytat:Thanks notably to a thoughtful and motivating conversation with Bellgamin, I started spending the hundred hours (and counting) to give Tiny Watcher a new life for Windows 64bit.

I will be looking forward for your input, especially about mandatory improvements and scanned item lists to use as baseline (for example this

[Aby zobaczyć linki, zarejestruj się tutaj]

).

Main changes in TW 2.0 will be:
- 64bit for Windows 7, 8.1 and 10
- scanner for Task Scheduler 2.0
- standardized way to configure the scan (e.g. recommended scanned item lists can be exchanged on this forum easily)
- some readability enhancements (so seeing what changed is a bit easier)

Finally, I am considering opening the (C++) source code on GitHub. I am not sure how much collaborative work can be expected from that, but it will have the usual pros & cons, the biggest "pro" being the added transparency (so anyone can verify what TW is doing on your system), and its counterpart biggest "con" being the easier job for hackers to exploit any vulnerability in this code.
Constructive opinions on this choice are also super welcome!

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Program jest w trakcie testów i trzeba powiedzieć, że autor się spisał.  Ostatni testowy build 2.0.3 działa bardzo sprawnie - skanuje bez kłopotów, a nowe okno postępu od razu wskazuje czerwoną linią, że możemy spodziewać się jakiegoś wskazania w tym obszarze. Zmieniony jest również dostęp do zaawansowanych opcji  i teraz jest to łatwiejsze.
W przygotowaniu już kolejna wersja, a tymczasem kilka screenów
   
   
   
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Gzie go można pobrać ?
Odpowiedz
#7
(28.11.2020, 08:43)zbigniew59 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Gzie go można pobrać ?
Autor zapowiedział, że upubliczni do testów prawdopodobnie już kolejną wersję. To już chyba niedługo. Póki co nie czuję się uprawomocniony, żeby rozsyłać tę, którą teraz mamy na tapecie. Dam znać, jak tylko coś będzie wiadomo.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Jak ktoś niecierpliwy chce jakiś alternatywny program do śledzenia zmian w rejestrze to alternatywną dobrą
może być MJ Registry Watcher, WinPatrol i jak dobrze pamiętam comodo miał gdzieś tak w funkcjach zaawansowanych też taki moduł który trzeba było sobie ręcznie ustawić.

[Aby zobaczyć linki, zarejestruj się tutaj]

Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#9
Nie odzywałem się, bo wciąż się w temacie coś wałkowało...no jest w końcu efekt. Autor opublikował link pierwszej publicznej wersji oznaczonej numerem 2.0.9. Strona programu i pobieranie poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]


Można testować Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości