ExeWatch - monitor plików ".exe"
#1
Chciałem podzielić się kilkoma informacjami na temat ciekawego programu do monitorowania zasobów dysku - to program ExeWatch , a jego zadaniem jest wykrywanie nowych plików z rozszerzeniem .exe . Program jest prywatnym, jednoosobowym projektem autorstwa Svena Faw.

Możliwości programu ...opis poszerzam o fragmenty z pliku exewatch.log ,w którym zarejestrowane są wszystkie akcje programu

* wykrywa prawidłowo zarówno pojedyncze pliki exe
C:\Downloads\enigmavb.exe
C:\Downloads\exewatch.exe
C:\Downloads\picpick_inst.exe

jak i pliki zawarte w folderach np. programów
C:\Downloads\1by1\1by1.exe
C:\Downloads\Autoruns\autoruns.exe
C:\Downloads\Autoruns\autorunsc.exe
C:\Downloads\FreeCommander\FcContextMenu64.exe
C:\Downloads\FreeCommander\FreeCommander.exe


* wykrywa pliki exena dostępnych dyskach/partycjach - chodzi więc nie tylko o dysk systemowy
D:\Downloads\20120505-016-v5i32.exe
D:\Downloads\ashampoo_winoptimizer_free_1.0.0_sm.exe
D:\Downloads\enigmavb.exe
D:\Downloads\picpick_inst.exe
D:\Services\1by1\1by1.exe


* wykrywa pojawianie się takich plików zarówno podczas pobierania z sieci, jak i instalacji...poniżej taki przykład (K9 Web Protection od Blue Coat)
- start pobierania
C:\DOCUME~1\xxxxxx\USTAWI~1\Temp\s76_pQbC.exe
- koniec pobierania i zapis na dysku
D:\Downloads\k9-webprotection.exe
- początek instalacji
C:\DOCUME~1\xxxxxx\USTAWI~1\Temp\k9filter.exe
- koniec instalacji i wykrycie wszystkich plików ex e nowego programu
C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
C:\Program Files\Blue Coat K9 Web Protection\UIHelper.exe
C:\Program Files\Blue Coat K9 Web Protection\uninst.exe
C:\DOCUME~1\xxxxxx\USTAWI~1\Temp\k9filter.exe


* - poprawnie wykrywa usuwanie plików exezarówno z dysku systemowego, jak i pozostałych
C:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dc3.exe
C:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dc4.exe
D:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dd10.exe
D:\RECYCLER\S-1-5-21-632532318-2666670698-1580278117-36839\Dd11.exe


i tu jedna uwaga, bo program w takich przypadkach zachowuje się nieco dziwnie...czyżby jakiś błąd?
kiedy usuwamy samodzielny plik- taka akcja jest wykrywana
kiedy usuwamy folder z plikam i exe- taka akcja nie jest wykrywana

Kolejna uwaga...z opinii użytkowników i moich własnych eksperymentów wynika, że program można "oszukać"...to znaczy - nie każde exe musi być wykonywalne i oryginalne...wystarczy zmienić rozszerzenie na exe i taki plik jest również wykrywany Smile
Program jest uruchamiany bezpośrednio z pliku i nie wymaga instalacji, a jest niezwykle mały - zaledwie 208 kB . Nie wstawia nic do systemu w autostarcie, bo uruchamiany jest...póki co...na żądanie tylko, a zużycie zasobów to niecałe 5 MB RAM.

[Aby zobaczyć linki, zarejestruj się tutaj]


Program nie posiada też opcji usuwania plików czy zabijania procesów... i chyba nie musi...a o wykrytym nowym pliku informuje nas krótkim sygnałem dźwiękowym i krótkotrwałym pojawieniem się czterech małych pomarańczowych prostokątów w rogach ekranu.
Spis wszystkich sygnalizowanych akcji można podejrzeć w pliku exewatch.log , natomiast aktualne od ostatniej naszej kontroli w oknie programu "View status" ...i jest to jedyne okno programu Smile

[Aby zobaczyć linki, zarejestruj się tutaj]


A tak w ogóle program jest bardzo sympatyczny i może być świetnym narzędziem uzupełniającym ochronę np. podczas surfowania po internecie zwłaszcza po nieznanych i podejrzanych stronach lub gdy lubimy pobierać różne "dziwne" pliki.

Wymagania systemowe: Win XP i W7 (oficjalnie)
Wymagania sprzętowe: brak
Licencja: donationware (prośba o finansowe wsparcie)
Strona programu

[Aby zobaczyć linki, zarejestruj się tutaj]

Dyskusja na Wildersach

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
ichito napisał(a):i tu jedna uwaga, bo program w takich przypadkach zachowuje się nieco dziwnie...czyżby jakiś błąd?
kiedy usuwamy samodzielny plik- taka akcja jest wykrywana
kiedy usuwamy folder z plikam i exe- taka akcja nie jest wykrywana

Wracając to tych spostrzeżeń...jest wytłumaczenie autora programu na ten temat. Sven wyjaśnił, że ExeWatch reaguje na 2 typy zdarzeń: utworzenie pliku .exe i zmianę jego nazwyi to zmiana nazwy jest niejako odpowiedzialna za odmienne zachowanie w przypadku usuwania samodzielnych plików i folderów z plikami:
- jeśli usuwamy pojedynczy plik do kosza, to jego nazwa jest zmieniona w związku ze specyficznym zachowaniem/właściwościami systemowego kosza...mamy wtedy alert programu i jest to zachowanie jak najbardziej poprawne
- jeśli usuwany jest folder z zawartością, pliki wewnątrz nie mają zmienianych nazw...brak więc reakcji programu...trochę dziwne, ale Windows widać tak ma Smile
Cytat: ExeWatch alerts are triggered by 2 particular types of system events:
new EXE file creations and EXE file renamings. Due to an oddity with the Windows Recycle Bin behavior, when deleting a folder, the files inside that folder do not get renamed, unlike when deleting individual files. (This can be verified by doing a command line DIR /A inside the Recycler directory)

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Dobra wiadomość od Svena Smile
Cytat: Version 1.16 is out, with support for USB drives and 2 additional file extensions. The app is still freeware and portable, and should be very stable.

More extensions (DLL, VBS, SYS, OCX, COM, PIF) will be added in a later version, once I have verified performance remains acceptable.

A to ze strony programu
Cytat: New in 1.16: Added support for BAT and SCR extensions, and removable (USB) drives.


Beer
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Lista zmian w ostatnich wersjach:
1.18- dodano skrót klawiszowy Win-S do uzyskania okna statusu - listy ostatnio wykrytych plików
1.21
Cytat: Version 1.21 has been released, which significantly improves dynamic detection of removable (USB) file systems.
Some code cleanup was also performed, leading to even faster performance.

1.25
Cytat: New in 1.25: -t command line switch for alternate (tray pop-up) notifications.

Ponadto na blogu Insights in Technology ukazała się bardzo pochlebna recenzja ExeWatch

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Kolejne wersje wprowadzające nowe rozszerzenia, skróty klawiaturowe, i tzw. "panic mode" - w tym trybie niebezpieczne rozszerzenie jest zamieniane z definicji na rozszerzenie .OFF
Cytat:
18.05. 2012
version 1.26is out, and now fully supports the .COM extension (16-bit executables) as well.

The other planned feature, panic mode (suggested by sg09, thanks!)
will take more time than expected to iron out the bugs, unfortunately.

22.05.2012
Release 1.28is out, featuring the new panic mode, which, if enabled, instantly renames new executables to a safe .OFF extension - nothing more, nothing less. Please note, this is a still a beta feature, use with care.

Files are renamed in-place; a proper quarantine folder structure will be considered for implementation in a later release.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Po ponad pół roku Sven wypuścił kolejną wersję programu oznaczoną 1.30 . Lista zmian
Cytat: New in 1.30:
Added autostart option,
JAR file detection,
About dialog.

[Aby zobaczyć linki, zarejestruj się tutaj]

Funkcja dodania do autostartu się nareszcie pojawiła, bo trzeba było troszkę gimnastyki, żeby program startował z systemem...można to było zrobić na różne sposoby, ale najprościej trzeba było stworzyć skrót np. na pulpicie, a potem przeciągnąć go do folderu Autostart w Menu Start...czasem skrót ucieka w takich momentach spod myszki Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Minęło 2 lata i jest kolejna wersja programu, której zasadniczą nową opcją jest dodanie funkcji listy lokalizacji wykluczonych z monitoringu...jest ona w formie pliku tekstowego w folderze programu. Nowa wersja ma numer 1.33
Cytat:New in 1.33: Path-based exclusion list. See exclusions.txt sample file.
Ponadto autor przestał rozwijać swoje programy samodzielnie i teraz wszystkie one są pod egidą grupy autorów o nazwie L303.
Z widocznych różnic...zmiana ikonki...ale ta poprzednia chyba jakoś bardziej mi pasowała Smile

Strona ExeWatch i L303

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Kolejna wersja i nowa możliwość - skanowanie na VT
Cytat:I''ve just released a new update (1.34), which fixes detection of BAT files and adds a new feature: press Windows+V to quickly check the last detected executable with VirusTotal (courtesy of the BlitzVT library):

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości