W artykule <g6k6fa$asi$1@polsl.pl> Radosław Sokół napisał(a):
>> Zgadzam się, z wyjątkiem ostatniego zdania. Nie każda aplikacja zapisuje
>> swoje "dane" tylko na etapie instalacji. Często jest to również jej
>> pierwsze lub kolejne uruchomienie. A takich już nie wykryjesz.
>
> Dlaczego nie? Wykryć się oczywiście da, ino będzie to po
> prostu trudne i strasznie pracochłonne zadanie.
Właśnie ze względu na ilość logów i szanse człowieka i komputera
na przefiltrowanie i wyłapanie odpowiedniego wpisu.
Doskonale wiesz, że jedno uruchomienie aplikacji jest to co najmniej
kilkadziesiąt tysięcy wierszy (już przefiltrowanych) do analizy.
A co jeśli aplikacja zapisuje dane np: po godzinie od chwili uruchomienia?
A jeśli robi to przy zamykaniu?
Czyli nie wiesz kiedy aplikacja, w jakim miescu i w jaki sposób markuje
swoją działalność. Dla większych (bardziej rozbudowanych) aplikacji
wykrycie tego graniczy z cudem.
Wówczas wchodzimy w setki tysięcy a nawet miliony wierszy do analizy.
Generalnie mogę życzyć tylko powodzenia ;)
PS: jest jeszcze szansa, że analizując logi po 2 godzinach dostaniesz
oczopląsu i przeoczysz ten właściwy zapis.
>> Z resztą regmon i filemon na tyle dużo logują zapisów, że ręcznie
>> nie ma szans tego przejrzeć. Nie mówiąc nic o nagle gdzieś jednym
>
> Można filtrować, jak już orientacyjnie wiesz, czego szukać.
Wychodzę z założenia, że nie wiem gdzie aplikacja sobie zapisuje
własne dane. Gdybym wiedział czy jest to plik, czy rejestr (a może jeszcze
inne miejsce? np: sektor na dysku?) - wówczas mam odpowiednie wyszukiwarki.
>> A ostatnio bawiłem się aplikacją, która przy uruchomionym regmonie
>> oraz filemonie stwierdzała, że nastąpiła nieautoryzowana próba uzyskania
>> dostępu i kończyła działanie (gdy podczas zamknięcia tych aplikacji
>> program bez problemu się uruchamiał).
>
> A próbowałeś zmienić im nazwy EXEców? :)
Obawiam się, że niczego by to nie zmieniło. Nazwa procesu, to jedno.
Nazwa okna zawierająca napisy "File Monitor" i Sysinternals, może być
zdecydowanie lepszym warunkiem do analizowania. I przynajmniej ja bym
swoją aplikację właśnie tak napisał. Nazwy okienek w _prosty_ sposób
nie zmienisz. Bo fizycznie jest to możliwe (przy założeniu, że aplikacja
co 1-2 sekundy nie odświeża informacji w tytule okna).
Jacek
Received on Tue Jul 29 09:00:21 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 29 Jul 2008 - 09:42:03 MET DST