|
Тестирование 5и программ для
слежки и мониторинга (просто так, дернули поиском и выбрали наиболее встречающихся по рейтингу)
Условия тестирования:
2008 год,
чистая
WinXP (SP3), мощный комп (2-а ядра, 3Гб
памяти, GForce-295).
Устанавливалась, настраивалась под Администратором. Обязательно
включались скриншоты с экрана (с интервалом 1-2 минуты), все
логирование. Поиск и
обнаружение проводился под учеткой Обычного пользователя.
| |
Объективные очучения. |
AUTORUNS.EXE |
PROCEXP.EXE |
TCPVIEW.EXE |
GMER* |
AVZ |
| StaffCop |
притормаживание.
"Ватность" мышки,
Запоздалая реакция на запуск программ. |
Вкладка Сервис:
+ Time Control Service
Time Control Library c:\windows\system32\csrss_tc.exe |
csrss_tc.exe
StaffCop.exe |
Все
программы, что то передавали. Это было видно по
"кольцу".
Но Тестирование проводилось на 1-ом компьютере, без подключения к сети.. |
rootkit* |
KeyLogger:
HideAgent.dll |
|
LanAgent |
Притормаживание.
"Ватность" мышки,
Запоздалая реакция на запуск программ. |
Вкладка
Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
LanAgent.dll
|
- |
rootkit* |
KeyLogger:
lanAgent.dll |
| StatWin |
Комп
стал тормозным.
Какая то странная реакция. Задубелая. |
Вкладка
Logon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ES"="\"C:\\Program
Files\\SXR Software\\StatWin Client\\ExecStat.exe\""
Вкладка
Сервис:
SW Administration
Service
|
ExecStat.exe |
- |
Keylogger или троянскую DLL
C:\Program
Files\SXR Software\StatWin Client\swsyskm.dll --> >>>
Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
2. Опрашивает имя клавиши
|
Maxapt QuickEye
сайт:
http://www.maxapt.ru
Производитель: СТБП «Максапт»
- Ужасно, сами студенты, себе же могилы роют. ))))
Программа 2007-2008 гг.
|
"Ватность"
мышки,
Запоздалая реакция на запуск программ. |
Вкладка
Logon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Maxapt LLC:
c:\program files\maxapt\quickeye enterprise 2\quickeye.exe
Вкладка
Сервис:
qeshrv QuickEye Agent
Service Maxapt c:\windows\system32\qeshrv.exe |
QuickEye.exe |
rootkit* |
KeyLogger:
qehrv.dll |
|
Mipko Employee
Monitor
Сайт:
http://www.mipko.ru |
"Ватность"
мышки,
Запоздалая реакция на запуск программ. |
Вкладка
Winlogon
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="c:\\windows\\system32\\userinit.exe,C:\\Program
Files\\MPK\\MPK.exe"
|
- |
- |
Маскировка процессов:
C:\Program
Files\MPK\mpk.dll |
GMER - , к сожалению, но
эта программа не запускалась полностью (ей необходимо
устанавливать драйвера, что под Обычным пользователем -
запрещено), но все таки, некоторые вещи она обнаружить смогла.
|
