MJ Registry Watcher
#1
MJ Registry Watchernie jest ani klasycznym HIPSem, ani blokerem, ani tym bardziej programem korzystającym z technologii "piaskownicy", ale jest bardzo silnym i skutecznym monitorem rejestru, plików autostartu, plików systemowych- stąd jego umiejscowienie w tym dziale właśnie. Postanowiłem napisać nieco o nim, ponieważ jest to mało znany u nas program, a kilka dni temu (25 czerwca) wyszła kolejna wersja tego programu 1.2.7.3 .
Lista zmian w stosunku do wersji poprzedniej za autorem
"1) Uses Microsoft-approved method of reading regional settings.
2) EMail support is now improved with full diagnostic error messages in the log when things don''t work properly. This makes for easier email debugging and logging.
3) Automatically resets EMail configuration file when details are not filled in properly.
4) Some new exemptions added for Windows 7."


Program jest autorstwa Marka Jacobsa (stad literki MJ w nazwie), który samodzielnie od wielu lat rozwija i udoskonala program (program i autor pojawili się pierwszy raz na Wildersach w listopadzie 2004). Sam autor charakteryzuje program tak

"MJ Registry Watcher is a simple registry, file and directory hooker/poller, that safeguards the most important startup files, registry keys and values, and other more exotic registry locations commonly attacked by trojans. It has very low resource usage, and is set to poll every 30 seconds by default, although you can adjust this to anywhere between 0 and 9999. A configuration file stores all your settings for future use. MJRW not only polls the system, but it also hooks it, so that most changes to keys, files and directories are reported instantaneously. Key deletions are still caught by the polling loop though, since they cannot be hooked. Exactly which keys and files are protected can be completely configured by the user, although the sets I supply with MJRW will cover most standard PCs.(...)
The default set of keys was chosen to balance security against intrusiveness. However, you can experiment by selecting different security levels on the Options menu, and see the impact on PC performance. The higher you set it, the better the coverage, and also, the more warnings you''ll get (especially with the openwithlist keys monitored).(...)"


Program oferuje do wyboru 3 główne tryby działania
- tryb ostrzeżeń/alertów (Prompt Mode)
- tryb akceptacji (Accept Mode)
- tryb odrzucenia zmian (Reject Mode)
oraz 6 predefiniowanych ustawień ochrony
- najwyższy (Highest Security Set)
- wysoki (High Security Set)
- średni (Medium Security Set)
- domyślny (Dafault Security Set)
- lekki (Light Security Set)
- niestanadardowy (Custom Security Set)
Dzięki czemu pozwala dostosować program i jego działanie do potrzeb i umiejętności użytkownika czego dowodem jest mniejsza lub większa lista chronionych obszarów. A propos umiejętności... program jest zdecydowanie dla zaawansowanego użytkownika . W ilościach funkcji, opcji i narzędzi można się pogubić, a dodatkowo program jest po angielsku, więc nawet niechcący możemy zrobić sobie samemu krzywdę i popsuć sporo rzeczy w systemie. Sam przymierzałem się do tego monitora wielokrotnie w ciągu ostatnich lat, ale czasem czułem się "nieco" zdezorientowany" w jego komunikatach Smile
O mocy i skuteczności programu może świadczyć ten test skuteczności monitorów zmian rejestru opublikowany na Wildersach...MJRW wygrywa z każdym z konkurentów z ogromną przewagą i choć był to rok 2004, program wciąż ma opinię "number one"
http://www.wilderssecurity.com/showthre ... ge=1&pp=25
Program jest programem typu portable czyli nie musimy go instalować - wystarczy rozpakować do wyznaczonego mu folderu, a pliki do pobrania ważą zaledwie 1783 kB...uruchamianie wraz z systemem mamy do wyboru w opcjach programu. Można powiedzieć, że MJRW nie obciąża systemu, uruchamia 2 procesy
- RegWatcher.exektóry zużywa ok. od 3 do 4,6 MB pamięci RAM i i ok. 8,5 do 9 MB pliku wymiany, zużycie procesora okresowo wzrasta od 0 do 8% (program w określonych interwałach czasowych sprawdza czy dokonano zmian w chronionych obszarach)
- arwwdwin.exe("Watchdog for MJ RegWatch") z odpowiednio 1-1,2 MB i 0,8 MB i żadnego zużycia procesora

Wymagania systemowe - właściwie wszystkie Windowsy 32-bitowe (najnowsze wersje wspierają już W7)
Wymagania sprzętowe - brak, bo właściwie nie są potrzebne
Licencja - darmowy
Wersja językowa - angielska
Strona domowa programu http://www.jacobsm.com/mjsoft.htm
Dyskusje na Wildersach
http://www.wilderssecurity.com/showthre ... ry+watcher
http://www.wilderssecurity.com/showthre ... ry+watcher
http://www.wilderssecurity.com/showthread.php?t=302069

Klika screenów
Okno główne
[Obrazek: 7879809_110628090819_2.jpg]
Opcje programu
[Obrazek: 7879811_110628090848_3.jpg]
"Podkręcanie" silnika programu
[Obrazek: 7879806_110628090907_4.jpg]
menu w trayu
[Obrazek: 7879807_110628090615_1.jpg]

Na koniec nieco żartobliwie...program ma niesamowite dźwięki alertów do wyboru...domyślny to odgłos klaksonu starego samochodu, coś jak trąbka z gruszką...idzie się pierwszy raz wystraszyć normalnie Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Sprawdzę sobie tą aplikację ,dobre info. Dzięki
Sandboxie + UAC Max/Spyshelter P + Webroot SA + OPEN DNS
Odpowiedz
#3
ichito, zainspirowałeś mnie. Prawdopodobnie skłoniłeś mnie do przetestowania programu.

PS. Wiadomo, że design idzie swoją drogą, a rozwiązania zabezpieczające swoją, ale mogliby trochę unowocześnić te ikonki wywołujące wspomnienia związane z Windowsem 98 Wink
SpyShelter Firewall
Odpowiedz
#4
hm...a te backupy to jak działają? Tzn. domyślam się, że jest to coś w stylu zwykłej kopii rejestru itd. a co jak nam dajmy na to system nie wstanie bo coś tam usuniemy czy coś?
Odpowiedz
#5
Nowa wersja, a zmiany za Wildersami
Cytat: Changes 1.2.7.6 to 1.2.7.7
1) Added DLL injection detection.
2) Improved email alert delivery reliability.

DLL injection detection is not 100% reliable, but it does alert if it finds one, and sometimes it can include the launching application (as in the screen snapshot).

http://www.jacobsm.com/mjsoft.htm#rgwtchr
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Dwa dni temu (28 X) ukazała się kolejna wersja...zmiany za forum Wildersów
Cytat: Changes 1.2.7.7 to 1.2.7.8
1) More choice on keys or values you can exempt when there is an alert.
2) Right-Click Options button to go to the first key (usually the run keys).
3) Added some Windows 8 keys and a terminal server autostart key to all key sets.

http://www.wilderssecurity.com/showthread.php?t=334938
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Kolejna wersja od wczoraj...lista zmian za wątkiem na Wildersach
Cytat: MJRW 1.2.7.9 released at -http://jacobsm.com/mjsoft.htm with the following changes :-

Changes 1.2.7.8 to 1.2.7.9
1) Added "Pause Scanning" option to tray icon menu with options for pausing the sweep for various amounts of time, ranging from 1 minute up to 4 hours before sweeps resume.
2) Added "Check for Updates" option to tray icon menu.
3) Added option to minimize MJRW when a user tries to close the program when the main window is visible.
4) Added hkey_lmus\software\microsoft\windows\currentversion\explorer\plmvolatile to
the exempt keys and filespecs list. Windows 8 updates this key whenever a Metro tile changes its content.

http://www.wilderssecurity.com/showthread.php?t=340725
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Nowa wersja MJRW wprowadzająca bardzo istotną zmianę...program teraz może być uruchamiany jako serwis, co daje między innymi te korzyść, że programu nie można zabić z menadżera zadań bez zatrzymania usługi...a to wszystko jeszcze tylko wtedy, gdy użytkownik ma uprawnienia administratora. Opis zmian za forum Wildersów
Cytat: Changes 1.2.7.9 to 1.2.8.1
1) Improved interface slightly by making more room for the buttons and rearranging menu items.
2) Improved "Subkeys" button functionality and made its prompts clearer.
3) Improved start up methodology to support service start ups.
4) Implemented service version and stub loader. See help for more details on service mode under section "RUNNING MJ REGISTRY WATCHER AS A SERVICE".
5) Added exemptions for registry session information being created and destroyed on login and logout.

Here is the manual section on service mode :-

RUNNING MJ REGISTRY WATCHER AS A SERVICE

You will need administrator access rights to set up the MJ RegWatcher Service. You can use the
item under the Options menu to "Install MJ RegWatcher Service". REMEMBER TO UNINSTALL THE
INTERACTIVE MJ REGISTRY WATCHER (using Options, Settings, Automatic Startup Options or
disabling the scheduled task or Startup menu item) before you start using the service since
they cannot be run simultaneously. Once interactive MJRW is uninstalled, and the service has
been installed, you can start the service by running services.msc (or Administrative Tools,
Services from Windows) and going to the entry "MJ RegWatcher Service Stub" and starting it.
Once running, it will continue to run until the PC is shutdown, surviving logins and logouts,
and automatically starting up when the PC is started (and before anyone logs in). If someone
tries to terminate it without stopping the service stub, it will be re-launched automatically.

To remove the service, you have to stop the service running using services.msc (or Windows
service manager with Administrative Tools, Services). Navigate to "MJ RegWatcher Service
Stub" and stop it. Then launch interactive MJ Registry Watcher (by running RegWatcher.exe from
the installation directory) and choose "Uninstall MJ RegWatcher Service" from the Options
menu. REMEMBER TO INSTALL THE INTERACTIVE MJ REGISTRY WATCHER (using Options, Settings,
Automatic Startup Options or enabling/creating the scheduled task or Startup menu item) if you
want MJ Registry Watcher interactive mode to start up automatically when someone logs in.

The service has some important differences from the interactive mode :-

1) Only Accept and Reject modes are supported. Prompt mode defaults to and sets Accept mode.
2) There is no tray icon or visible application interface. It runs invisibly.
3) Keys and filespecs prefixed with $ to always prompt, will instead Accept or Reject depending on which mode is set.
4) The configuration of the service is taken from that used by the normal interactive configuration.
5) Only one instance of the service can be run at a time, and it cannot be run at the same time as an interactive session.
6) To be informed about alerts while the service is running, you can :-
a) Run the application mjrwmon.exe from the installation directory to monitor the service
b) Use the alert sound set in interactive mode
c) Use the email settings set in interactive mode
d) Keep a view open and refreshed on the log file mjregwatchkeys.log

Źródło http://www.wilderssecurity.com/showthread.php?t=344408
Strona programu http://www.jacobsm.com/mjsoft.htm
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#9
Informacja z 1 marca 2014
Cytat: Changes 1.2.8.1 to 1.2.8.2

1) There is now a new option on the "Customisations" menu called "Always Add Exempted Items to Customisation Files". If this is checked when an alert occurs and you decide to exempt the key, value or filespec that causes the alert, the exemption is written to the relevant customisation file instead of the relevant exemption file. Customisation files are never overwritten by an update to MJ RegWatcher, whereas exemption files are occasionally updated. This setting is saved in the configuration file so that it is remembered between sessions.
2) Engine uses even less CPU resource.
3) Added some exemptions for Adobe Flash Player update, new IE stuff and some others. If you have your own exemptions that you''d like to preserve, please transfer them to your customisation files before updating.

http://jacobsm.com/mjsoft.htm#rgwtchr
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#10
Dziś pokazała się kolejna wersja...zmiany za Wildersami
Cytat:MJRW 1.2.8.3 released at http://jacobsm.com/mjsoft.htm

Changes 1.2.8.2 to 1.2.8.3
1) Improved resource usage
2) Added some new exemptions
http://www.wilderssecurity.com/threads/ ... er.367742/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#11
Cytat:Changes 1.2.8.3 to 1.2.8.4
1) On email alerts, you can set TLS (secure SSL transport) by prefixing the port number
in the configuration line for the host, with a '+' for explicit TLS and '-' for implicit TSL.
See EMAIL ALERT CONFIGURATION above. For example, smtp.office365.com/+587
2) Fixed leak in non-paged pool memory usage.
3) When a file can't be deleted, you now get the option to retry the operation.
4) Improved detection of OS version for the tray hint.
Źródło
http://www.wilderssecurity.com/threads/n...on.381419/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#12
Można tego używać z spyshelter ? jakieś wykluczenia na inne programy ?
Odpowiedz
#13
(19.11.2015, 13:37)neon napisał(a): Można tego używać z spyshelter ? jakieś wykluczenia na inne programy ?
Nie ma takiej potrzeby...SS poza tym, że nadzoruje zmiany w rejestrze i systemie (czyli to, co w pewnym zakresie robi MJRW) ma jeszcze wiele dodatkowych możliwości czyli ma szersze zastosowanie.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#14
Po długim czasie niespodzianka - nowa wersja z niewielkimi zmianami, niemniej wskazuje to na progres, a nie porzucenie projektu.
Poniżej pełen opis autora na temat tej wersji

Cytat:Changes 1.2.8.4 to 1.2.8.5
1) Updated SSL libraries and strengthened ciphers to TLSv1.
2) Improved algorithms.

Not much seems to have changed. (If it ain't broke, why fix it?). I have used SSL 1.0.1.9 libraries to ensure TLS v1 is used, and SSLv2 and SSLv3 are not used. In terms of long-term CPU usage, I have found that, if you are running MJRW in Accept mode, you can save some resource usage by setting the Hook Throttle to 0ms in the Engine Tuning section.

https://www.wilderssecurity.com/threads/...er.402738/

Zawsze miałem sentyment do tej aplikacji, więc z pewnością spróbuję Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości