Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Как отследить к каким файлам обращается программа


Мониторинг доступа к файлам / Хабр

Зачастую пользователям и системным администратором необходимо отслеживать, к каким файлам обращается приложение. В Linux-е уже есть все средства для этого, и тем удивительнее постоянно слышать на форумах — есть ли аналог Sysinternal Filemon. В данной статье я опишу использование утилиты strace, и рассмотрю ряд моментов, которые ускользают от некоторых пользователей, полагающих, что приложениям надо ограничивать права даже на чтение, например, ограничить доступ mplayer-а только к показываемому фильму.

strace — это трассировщик системных вызовов и сигналов. Для работы с файлами используется системный вызов «open», и соответственно, необходимо отслеживать только его. Пример команды:
$ strace -xf -eopen -o /path/to/log /path/to/program

Здесь мы указываем отслеживать все дочерние процессы, заменять непечатаемые символы на шестнадцатеричное представление и сохранять лог вызовов в файл /path/to/log. Потом полученный лог можно обработать соответствующими инструментами. Далее будут приведены примеры, как можно вычленить из лога всю нужную информацию.
Мониторинг текстового редактора nano

Для начала посмотрим, к каким файлам обращается простейший текстовой редактор nano:
$ strace -xf -eopen -o out.log nano temp.txt
$ sed -n 's/.*open(\(.*\))\s*=.*/\1/p' out.log | sort

Командой sed мы преобразуем лог в более краткий формат для читабельности, и сортируем строчки. В итоге должно вывестись что-то типа такого:
"/etc/ld.so.cache", O_RDONLY
"/etc/nanorc", O_RDONLY
"/home/nuald/.nano_history", O_RDONLY
"/home/nuald/.nano_history", O_WRONLY|O_CREAT|O_TRUNC, 0666
"/home/nuald/.nanorc", O_RDONLY
"/lib/libc.so.6", O_RDONLY
"/lib/libdl.so.2", O_RDONLY
"/lib/libncursesw.so.5", O_RDONLY
"/lib/terminfo/x/xterm", O_RDONLY
"temp.txt", O_WRONLY|O_CREAT|O_TRUNC, 0666
"/usr/lib/gconv/gconv-modules.cache", O_RDONLY
"/usr/lib/locale/en_US.utf8/LC_ADDRESS", O_RDONLY
... другие библиотеки для работы с локалью
"/usr/lib/locale/locale-archive", O_RDONLY
"/usr/share/locale/en/LC_MESSAGES/nano.mo", O_RDONLY
... другие файлы локализации
"/usr/share/locale/locale.alias", O_RDONLY

Можно выделить следующие категории файлов, к которым обращается программа:
  • Конфигурация nano (nanorc, ~/.nano_history)
  • Динамические библиотеки, используемые программой (libc и др.)
  • Файлы локализации
  • И собственно редактируемый файл

Т.е. в процессе работы программам нужен доступ к достаточному большому количеству файлов, и ограничение доступа на чтение отрицательно повлияет на работоспособность программ.
Мониторинг видеопроигрывателя mplayer

Теперь попробуем запустить mplayer и проверить те файлы, в которые он только пишет. Возможно, это нам даст возможность составить нужный безопасный профиль работы программы.

$ strace -xf -eopen -o out.log mplayer test.mp4
$ sed -n 's/.*open(\(.*\))\s*=.*/\1/p' out.log | grep -v O_RDONLY | sort

"/dev/3dfx", O_RDWR
"/dev/fb0", O_RDWR
"/dev/mga_vid", O_RDWR
"/dev/mga_vid", O_RDWR
"/dev/shm/pulse-shm-3056117003", O_RDWR|O_CREAT|O_EXCL|O_NOFOLLOW|O_CLOEXEC, 0400
"/home/nuald/.mplayer/config", O_WRONLY|O_CREAT|O_EXCL, 0666
"/home/nuald/.pulse-cookie", O_RDWR|O_CREAT|O_NOCTTY, 0600
Здесь мы командой grep ограничили вывод, и не включали файлы, которые были открыты с флагом O_RDONLY (только на чтение). Как видите, и здесь не все так гладко — mplayer-у приходится писать в другие файлы, и возможно ограничение доступа полностью его сломает, и он не сможет воспроизводить видео. Так что приведенную выше идею об ограничении доступа не так просто будет реализовать, и точно не реализовать в ее изначальном смысле.

Заключение

В этом небольшом эскурсе была приведена лишь одна область применения strace. У данной программы есть много замечательных способностей, и она может позволить избавиться от бессонных ночей в поисках причин неработоспобности приложений даже без применения отладчика. Это инструмент, который должен знать любой Linux-разработчик, и надеюсь, что это принесет вам пользу в борьбе с многочисленными багами, и повысить качество разрабатываемого программного обеспечения.

P.S. Приведу список других инструментов, полезных для мониторинга доступа к файлам:

  • SystemTap — инструментарий для сбора статистики. Острожно — требует debug-версии ядра (из него он берет отладочные символы и информацию). Пример мониторинга операции «open» описан в документации.
  • /proc/sys/vm/block_dump — Отладка блокового ввода-вывода.
  • inotify -подсистема ядра Linux, которая позволяет получать уведомления об изменениях в файловой системе. Можно использовать через inotify tools.

отслеживание обращений к файловой системе.

Общие сведения о программе Filemon .


    Filemon - программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями с файлами, сетью и именованными каналами. После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Однако, FileMon, а также программа мониторинга обращений к реестру Regmon были заменены одной программой Process Monitor, которая, все же, утратила некоторые возможности предшественников и менее удобна в использовании. Несмотря на то, что Process Monitor обладает большими возможностями, в среде операционных систем Windows 2000/XP, для мониторинга обращений к файлам и реестру, нередко удобнее использовать Filemon и Regmon.

Данная статья предназначена для пользователей Windows XP/2000, использующих Filemon версий 6.x - 7.x

Скачать Filemon 6.12 94 кб.

Скачать Filemon 7.04 256 кб.

Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)

Программа не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке filemon.chm и текстовый файл с кратким описанием и лицензионным соглашением.

    После запуска исполняемого файла filemon.exe, будет выполняться перехват всех операций с файлами и вывод данных в основном окне программы:

Интерфейс программы состоит из 3-х частей - строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. Для остановки процесса перехвата обращений к файловой системе нужно щелкнуть мышкой по кнопке с лупой, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.

Каждому обращению к файлу соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра содержимого каталога, соответствующего данной записи об операции с файлом. Порядок следования строк соответствует времени выполнения операций. Информация в окне вывода данных разделена на семь столбцов:

# - номер строки с начала сессии перехвата обращений к файловой системе.

Time - время обращения. Формат можно задать с использованием меню Options - Clock Time и точность - Options - Show Milliseconds
Process - имя и идентификатор процесса (PID), который вызвал обращение к файлу.

Request - тип запроса. Типы запросов отслеживаемые filemon:
CLOSE - закрытие файла.
CREATE - создание файла
DELETE - удаление
DIRECTORY - запрос информации о каталоге
LOCK - монопольный захват ресурса
OPEN - открытие файла
QUERY INFORMATION - запрос информации о ресурсе
READ - операция чтения данных
SET INFORMATION - изменить информацию о ресурсе
UNLOCK - отменить монопольный захват ресурса
WRITE - операция записи данных

Result - результат выполнения запроса:

END OF FILE - обнаружен признак конца файла (EOF)
FILE NOT FOUND - файл не найден
NAME COLLISION - была попытка создать новый файл, но файл с таким именем уже существует.
NO MORE FILES - список содержимого каталога сформирован.
PATH NOT FOUND - не найден путь
RANGE NOT LOCKED - попытка выполнить разблокировку файла, который не был заблокирован.
SUCCESS - операция выполнена успешно.

Other - дополнительная информация :

Attributes - атрибуты файла - А- архивный, D-каталог, H-скрытый, R-только чтение, S-системный.
Exd - значение YES говорит об установке монопольного доступа к ресурсу
File Basic Information - получена(установлена) базовая информация о ресурсе (время модификации, атрибуты и т.п)
File Both Directory Information - запрос дополнительной информации о каталоге. Обычно используется для получения списка файлов.
File Name Information - информация о длине имени файла.
File Rename Information - информация о переименовании файла.
Lenth - длина. Число считанных или записанных данных, размер файла
Offset - смещение, начало области данных, над которыми выполняется операция.
Options - дополнительные параметры для операций над ресурсом.

Основное меню (menu bar) программы Filemon .

    Пункты основного меню File

Load - открыть из файла ранее сохраненный отчет и просмотреть его
Save - сохранить содержимое окна в файл отчета .
Save As - выбрать другое расположение и имя для файла отчета
Path Properties - свойства выделенного файла или каталога.
Process Properties - свойства процесса, инициировавшего операцию. (исполняемый файл, путь, параметры командной строки и т.п.)
Capture Events - CTRL+E - включить перехват событий обращений к файловой системе.

Пункты основного меню Edit

Copy - скопировать в буфер обмена выделенные строки.

Delete - удалить выделенные строки.
Include Process - добавить выделенный процесс в группу отслеживаемых
Exclude Process - исключить выделенный процесс из группы отслеживаемых
Include Path - добавляет путь из выделенной строки в список отслеживаемых
Exclude Path - исключить путь из выделенной строки из списка отслеживаемых. Find - поиск по всему содержимому буфера перехваченных данных, строки с заданным текстом.

Explorer Jump - быстрый переход в Проводнике к файлу или каталогу, указанному в колонке Path выбранной строки. Если путь недействителен, то переход будет выполнен лишь в той части пути, которая существует.
Clear Display - очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.

Пункты основного меню Options

Font - выбор шрифта для окна
Highlight Colors - выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых.
Filter / Highlight - определение фильтров для записей, которые должны быть включены / исключены из перехваченных данных, и строк, выделяемых подсветкой. Более подробно о фильтрах - ниже по тексту.
History Depth - максимальное число перехватываемых событий. (0 - без ограничений).
Auto Scroll - включить/выключить автоматическую прокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись.
Clock Time - переключение формата времени (часы или секундомер)
Show Milliseconds - дополнительно в значении времени показывать миллисекунды.
Always On Top - окно программы всегда поверх всех остальных окон

Пункты основного меню Volumes

Данное меню позволяет выбрать тома для мониторинга. Обычно Filemon используется для отслеживания обращений к локальным (Fixed, CD, Removable) и сетевым дискам (Network). Однако возможно включение режима наблюдения за операциями для именованных каналов и почтовых ящиков. Именованный канал (named pipe)- это средство для передачи данных между процессами, являющимися клиентом или сервером. Сервером является процесс, создавший именованный канал, а клиентом - процесс, подключающийся к созданному именованному каналу. Именованные каналы, в основном, используются внутри самой ОС для взаимодействия между службами системы (сервисами) или взаимодействия приложений с сервисами. Как, например, управление службами Windows с использованием оснастки панели управления. В качестве программного интерфейса приложений для посылки и приема сообщений по именованным каналам используются те же самые функции Windows API, что и при работе с файлами (ReadFile, WriteFile). Создаваемый канал так же получает свое имя, указатель файла (handle) и для него возможны операции записи и чтения как для обычного файла в составе файловой системы. Взаимодействующие процессы могут выполняться как на одном компьютере, так и на разных внутри локальной сети..
Почтовые ящики (mail slots) обладают такими же свойствами, как и именованные каналы, но используются для обмена данными между приложениями.

Установка фильтров программы Filemon .

По умолчанию, утилита Filemon настроена на вывод информации об обращениях к файловой системе Windows, выполняемых всеми процессами системы. Естественно, отыскать интересующее событие при таких условиях перехвата, довольно сложно и в программе предусмотрена возможность фильтровать выходные данные по

- процессу
- пути файла/каталога
- типу действия

Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Filemon Filters ) в любой момент времени c использованием меню программы или комбинации клавиш CTRL+L

Для настройки фильтров можно использовать три текстовых поля. Фильтры разделяются друг от друга символом "точка с запятой". Возможно использование символа * (звездочка) в качестве шаблона (wildcard). Если указать * в поле Include, то в условия перехвата событий будут включены все действия всех процессов. Если в поле Include будет указан фильтр "C:\windows", то утилита будет собирать все данные, связанные с операциями ввода/вывода для указанного пути любых процессов системы.
В поле Exclude указываются фильтры для процессов и путей, которые должны быть исключены из выходных данных. Если в поле Include установлен фильтр C:\WINDOWS, а в поле Exclude - C:\WINDOWS\SYSTEM32 то операции ввода/вывода для каталога C:\WINDOWS\SYSTEM32 будут исключены из выходных данных утилиты Filenmon.
В поле Highlight указываются фильтры по которым определяются выделяемые из выходного списка строки.
В окне настройки фильтров имеется возможность установки флажков (checkboxes) фильтрации элементов списка по типу выполняемых действий. Если снять все флажки, никакой информации выводиться не будет. Установка флажка определяет, какие операции будут выводиться в окне данных.
Log Opens - выводить данные об операциях, связанных с открытием файлов.
Log Reads - выводить данные об операциях чтения .
Log Writes -выводить данные об операциях записи.

В последних версиях были добавлены

Log Errors - выводить данные об операциях, завершившихся с ошибкой .
Log Successes - выводить данные об операциях, выполненных успешно .

Программа запоминает историю вводимых фильтров. При старте используется последний заданный фильтр. Для сброса критериев фильтрации в исходное значение используется кнопка Defaults в окне Filemon Filters     На практике, задание критериев фильтрации выводимых данных гораздо удобнее использовать меню, вызываемое правой кнопкой мышки на выбранной строке

Include Process и Include Path - добавить в поле Include процесс или путь, отображаемый в текущей строке.
Exclude Process и Exclude Path - исключить из выходных данных Filemon процесс или путь, отображаемый в текущей строке.
Обычно, используется исключение путей и процессов, информация о файловых операциях которых не нужна в выходных данных.

Пример применения утилиты Filemon .

    Одно из основных применений Filemon - слежение за операциями с файловой системой процесса, аварийно завершающегося с сообщением о том, что не найден файл или путь. Особенно, если сообщение не содержит имени файла или каталога. Нередко встречаются случаи, когда программа запускается, может даже выдать какую-нибудь заставку и завершается без каких-либо сообщений. С подобным явлением приходилось сталкиваться при запуске некоторых компьютерных игр. Причиной было отсутствие файлов или каталогов, неверное расположение временных или конфигурационных файлов, использование кириллических символов в именах и т.п. Причин может быть множество, и определять их простым перебором возможных вариантов - дело трудоемкое и неблагодарное. А Filemon позволяет легко определить недостающие, или неверно расположенные, файлы и каталоги.
Второе, не менее важное направление - исследование работы конкретного приложения. Например, нужно определить, в каком месте сохраняются настройки обозревателя Mozilla Firefox.
Запускаете Filemon и определяете условия фильтрации:
Include - firefox
Exclude - оставляете пустым
Поле Highlights тоже можно оставить пустым. При необходимости, критерии подсвечивания и исключения можно всегда задать в ходе работы, когда начнется перехват файловых операций и вывод данных в основном окне Filemon.
После начала отслеживания, переходите к настройкам обозревателя и изменяете какую-либо из них. После сохранения настроек переключаетесь в окно Filemon, останавливаете процесс перехвата событий и анализируете полученные данные. Конечно, в случае сложной программы, операций ввода/вывода может быть немалое количество, и придется разбираться исходя из здравого смысла и логики работы приложения. Так, наиболее вероятно, что настройки не хранятся во временных файлах, поэтому их можно сразу исключить из анализа. Следующее предположение - настройки обозревателя связаны с профилем пользователя, следовательно в нем же должны сохраняться. ( каталог C:\documents And Settings\пользователь : для Win2k/XP). Сохранение настоек - это операция записи. В результате таких предположений круг поиска будет значительно сужен и файл настроек будет найден без труда.

Не совсем по теме. Найденный таким образом файл с настройками Mozilla Firefox (с именем prefs.js) оказался довольно интересным по содержанию, особенно комментариями в начале файла

# Mozilla User Preferences
/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see http:// www.mozilla.org / unix/ customizing.html #prefs
*/

Из перевода становится понятно, что настройки, внесенные вручную в данный файл, при запущенном обозревателе, не будут сохранены, поскольку будут перезаписаны при его завершении. И для ручного изменения настроек следует в адресной строке Mozilla Firefox набрать about:config . За дополнительной информацией предлагается перейти по ссылке на сайт mozilla.org.
А также, понятно, что для сохранения настроек, можно сохранить содержимое файла prefs.js под другим именем. Можно проверить, как поведет себя обозреватель при отсутствии файла настроек или его повреждении.

Данный пример, вполне наглядно иллюстрирует, насколько может быть полезен инструмент мониторинга использования файловой системы.


Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой "Поделиться"

В начало страницы     |     На главную страницу

Как узнать, где программа хранит свои настройки в реестре

  • Содержание статьи

Описание

Часто возникает необходимость узнать, где та или иная программа (приложение) хранят свои настройки в реестре Windows. Бывает, что поиск по реестру не дает никаких результатов, или же программа хранит свои настройки не в одной какой-либо ветке реестра, а в нескольких и нужно их все найти, чтобы посмотреть/поменять настройки или сделать их резервную копию. В данной статье мы рассмотрим как это можно сделать.

Как узнать, где программа хранит свои настройки в реестре

Для того, чтобы узнать к каким разделам реестра обращается программа в процессе работы, мы воспользуемся бесплатным инструментом под названием Process Monitor, который можно скачать с официального сайта по следующей ссылке: https://download.sysinternals.com/files/ProcessMonitor.zip

После скачивания и распаковки архива можно обнаружить два exe файла: Procmon.exe и Procmon64.exe

Если у вас установлена 32-битная версия Windows, то запускать нужно файл Procmon.exe, а если у вас установлена 64-битная версия, то тогда соответственно запускаем Procmon64.exe. О том, как узнать разрядность вашей ОС у нас есть отдельная статья: https://sysadmin.ru/articles/kak-opredelit-razryadnost-windows Если при запуске программы вы получаете ошибку "Unable to load process monitor device driver", то о том, как ее исправить, можно прочитать в этой статье

После первого запуска, программа предложит нам принять условия лицензионного соглашения, поэтому не забываем нажать кнопочку "Agree"


Для примера посмотрим к каким разделам реестра обращается стандартный графический редактор Paint, который присутствует в ОС Windows. Для этого сначала запускаем Process Monitor, а после этого интересующее нас приложение, в данном примере графический редактор Paint. Далее, в диспетчере смотрим как именно называется исполняемый файл, в случае с Пейнтом, он называется mspaint.exe.

Чтобы отфильтровать все ненужные записи от любых других приложений, мы включим фильтр, в котором укажем, что хотим видеть только активность, которая вызвана процессом mspaint.exe, для этого мы выбираем пункт меню "Filter" и в нем опцию с одноименным названием "Filter...".

После чего выбираем из раскрывающегося меню пункт "Process Name", вписываем имя нужного нам процесса mspaint.exe и жмем на кнопку "Add", чтобы наш фильтр добавился:

Теперь осталось применить фильтр, чтобы все посторонние записи не отображались. Для этого жмем на кнопку "Apply" и потом на "OK", для закрытия окна настроек.

В результате перед нами будет вся информация о том, к каким конкретно разделам и ключам реестра обращается mspaint.exe в процессе своей работы:

Теперь можно закрыть редактор Paint и посмотреть куда он записывает все свои настройки, после завершения работы. Они будут также отображаться в окне Process Monitor, достаточно просто воспользоваться скроллом. Таким не хитрым способом, можно мониторить любой процесс и точно знать как и где он хранит информацию.

Взлом голыми руками — «Хакер»

Как известно, кракинг большинства шаровар начинается с отслеживания того, куда прога помещает свой триальный счетчик (в файл и/или реестр). Повсеместно для этого предлагается использовать утилиты, типа Regmon и Filemon. Еще Крис Касперски в своей знаменитой книге «Техника и философия хакерских атак» со смаком описывал юзанье этих утилит.

Глядя на все это, так и хочется сказать: «И не стыдно господа кракеры?». 😉 Зачем вообще нужны какие либо утилиты для простейших операций, легко осуществляемых средствами голой Винды?
Например, нам нужно отследить к каким файлам обращается программа. Смотрим время на часах (допустим это 5:36) и запускаем шаровару. Затем закрываем ее (можно и не закрывать) и делаем Пуск->Найти->Файлы и папки, включаем поиск измененных за последний день файлов. Внимательно смотрим на файлы, которые были изменены со временем от 5:36 и выше. Понятно, что в этот период к файлам могла обращаться только наша подопытная прога(!). Данное утверждение справедливо, если в этот момент у тебя не работал какой-нибудь хитрый сервис, который мог бы юзать файлы. Поэтому, перед проведением всех описываемых здесь СЛОЖНЫХ 🙂 процедур, все лишнее должно быть отключено, чтобы не сбивало с толку. Должен заметить, что в список измененных файлов за отслеживаемый отрезок времени практически всегда будут входить файлы в которых хранится реестр, причем независимо от того пишет в них наша шаровара или нет. Просто к реестру практически постоянно обращается сама операционная система.

Ламеру на заметку: В Win9x реестр хранится в двух файлах System.dat и User.dat, а в NT/2000/XP ветки реестра разнесены по файлам Ntuser, Userdiff, Default, System, Software, Security, Sam (я не указал расширения, т. к. они могут либо совсем отсутствовать, либо принимать любой вид из трех: alt, log, sav). 

Таким образом, мы отследили файлы, настала очередь реестра. Для этого экспортируем весь реестр в файл. Здесь одна тонкость: в 2000/XP при экспортировании нужно выбрать тип файла «Win9x/NT4», т. к. этот формат более удобный для последующих манипуляций (если мне не веришь, можешь попробовать другой ;)). Затем запускаем и закрываем шаровару, и снова экспортируем реестр. Таким образом, мы имеем два файла, например, reestr1.reg и reestr2.reg. Один сделан до запуска шаровары, второй — после. Думаю понятно, что их нужно сравнить. Сделать это можно с помощью стандартной ДОСовской команды FC:

fc /L reestr1.reg reestr2.reg>1.txt

Все различия будут перенаправлены в файл 1.txt. Опция /L означает сравнение в тестовом (ASCII) режиме. В этом режиме несовпадающие фрагменты выводятся на экран в следующем виде:

***** file1
Последняя совпадающая строка
Отличающийся фрагмент первого файла
Первая вновь совпадающая строка
***** file2
Последняя совпадающая строка
Отличающийся фрагмент первого файла
Первая вновь совпадающая строка

Выше я говорил, что операционная система постоянно обращается к реестру (особенно этим страдает Win2000/XP), поэтому файл 1.txt будет содержать множество фрагментов не принадлежащих нашей шароваре. Для того чтобы понять какие ключи принадлежат Windows, достаточно сделать несколько раз экспортирование реестра, с последующим сравнением, без запуска шаровары.
Вообще при сравнении главное не лохануться, так, например, если программа привязана к счетчику, который изменяется по дням, то ты не увидишь никаких изменений в реестре пока не переведешь дату
хотя бы на один день. Думай, на это голова и дана. 😉 

Удачного кряка!

Как определить, к каким ключам реестра обращается запущенная в Windows программа

Большинство программ, которые вы устанавливаете на компьютер, хранят часть своих файлов в папке Program Files, а часть - в разных служебных папках пользователя. А вот настройки свои они предпочитают хранить в системном реестре. Знать, где именно хранит свои настройки та или иная находящаяся в активном состоянии программа бывает полезно, но как определить ветку реестра, в которую эти самые настройки записаны?

С помощью Procmon или иначе Process Monitor — маленькой портативной тулзы, входящей в состав пакета утилит Sysinternals, предназначенного для обслуживания и системного администрирования Windows. Хорошо, предположим, что мы хотим узнать, к каким ключам реестра у нас обращается программа ClipClip или какая-либо иная программа. Первым делом запускаем от имени администратора Procmon, а затем и отслеживаемое приложение, заодно определяя полное название его исполняемого файла в Диспетчере задач.

Фильтруем ненужные процессы

В нашем примере исполняемый файл приложения называется ClipClip.exe, отфильтруем его, убрав из поля зрения все ненужные нам процессы.

Для этого в Process Monitor идем в меню «Filter».

Выбираем в нём опцию с тем же названием и выбираем в выпадающих списках в полях следующие параметры:

  • Process Name.
  • Is.
  • Название процесса.

Остальные настройки не меняем и жмем кнопку «Add», чтобы добавить наш фильтр, а затем нажимаем кнопки «Apply» и «OK», дабы применить фильтр.

Обратите внимание на колонку «Operation»: пункты, в названии которых имеется элемент строки «Reg» это и есть ключи реестра, к которым обращается программа.

Кстати, на панели инструментов утилиты можете отключить отображение других типов активности процесса, оставив только обращение к реестру. Вот таким нехитрым способом можно легко выяснить, к каким ключам реестра обращается программа в процессе своей работы.

Официальна страница утилиты: docs.microsoft.com/ru-ru/sysinternals/downloads/procmon

как это делается в разных ОС / Хабр

Я бы хотел посвятить статью обзору API, предоставляемых разными ОС для слежения за изменениями в директории. Статья появилась как результат моей работы над демонами слежения за изменениями для утилиты dklab_realsync (статья на хабре, github репозиторий) и своей собственной, которую я пока что не хочу анонсировать.


Для операционной системы Windows есть замечательная функция ReadDirectoryChangesW, которая возвращает набор изменений для директории, в том числе содержит флаг для работы рекурсивно (bWatchSubtree). Таким образом, реализация слежения за изменениями в директории не представляет особого труда и в том же dklab_realsync реализация занимает 80 строк кода или 3.5 Кб. Интересно, что в Windows эти события поддерживаются даже через SMB!

Тем не менее, существуют определенные подводные камни:

  • конечный размер буфера изменений, после которого очередь событий переполнится и эти события будут потеряны
  • согласно документации к watchdog package, событие перемещения посылается раньше, чем изменения становятся видны в ФС
  • размер буфера ограничен в 64 Кб для сетевой ФС

Вывод: Функция ReadDirectoryChangesW позволяет легко узнавать обо всех событиях в файлах, но, очередь событий может переполниться и тогда нужно будет выполнять полное сканирование ФС. Также, возможна доставка событий до того, как они станут актуальны.


В Mac OS X также есть удобный и простой API для слежения за изменениями в файловой системе под названием FSEvents. С использованием этого API простейшая реализация демона составляет 50 строк кода или 1.8 кб. Очередь не может переполниться (!), но полное сканирование все же может потребоваться, если демон fseventsd «упадет». Стоит отметить, что этот API до версии 10.7 не предоставляет изменения по файлам, он сообщает только директории, в которых что-то изменилось. Поскольку события никуда не деваются и пишутся в лог (FSEvents service stores events in a persistent, per-volume database), детализация с точностью для директории позволяет сэкономить место на диске.

Вывод: FSEvents API для Mac OS X является самым необычным из всех подобных API. Очередь не переполняется и даже имеется возможность получить события из прошлого. Тем не менее, детализация событий дается с точностью до директории (до версии 10.7), что означает меньшую эффективность демона для синхронизации файлов.


В linux vanilla kernel существует один способ слежения за изменениями в директории — это inotify. Для этого API существует хорошая и подробная документация, но нет поддержки рекурсивного слежения за изменениями! Также, у inotify есть ограничение на максимальное количество объектов, за которыми можно следить. Простейшая реализация демона занимает уже 250 строк кода или 8 кб. Статическая сборка с использованием dietlibc занимает примерно 14 кб. Другим неприятным моментом является то, что приложение должно само поддерживать соответствия между watch descriptor (в нашем случае это всегда директория) и именем. Есть функция inotify_add_watch, которой передается путь до отслеживаемой директории, но нет обратной — inotify_get_path, которая бы возвращала этот самый путь по переданному дескриптору. События же содержат только watch descriptor и относительный путь до изменившегося файла внутри директории.

Подводные камни рекурсивного слежения за директорией через inotify:

  • Возможность переполнения очереди (длина очереди задается в /proc/sys/fs/inotify/max_queued_events)
  • Ограничение на максимальное количество объектов слежения (задается в /proc/sys/fs/inotify/max_user_watches)
  • Отсутствие возможности рекурсивного слежения за директорией
  • Необходимость отдельно обрабатывать случай, когда создается директория (например mkdir -p a/b/c). Вы получите событие о том, что создана директория «a», но пока вы навешиваете обработчик на эту директорию, в ней уже могут создать ещё одну директорию и событие об этом вам уже не придет.
  • Теоретическая возможность целочисленного переполнения watch descriptor (wd), так как он задается uint32

FreeBSD и Mac OS X позволяют отслеживать за изменениями с помощью kqueue, который аналогичен inotify по своим характеристикам и также не имеет возможности рекурсивного слежения за директориями. Также, kqueue принимает в качестве аргументов дескрипторы открытых файлов (директорий), поэтому при использовании этого API ограничения на количество отслеживаемых директорий ещё более строгие.
Механизм Переполнение очереди Рекурсивный? Макс. объектов Детализация
ReadDirectoryChangesW Да Да файл
FSEvents Нет Да файл (10.7+)
inotify Да Нет 8192 файл
kqueue Да Нет 1024 файл
Как можно видеть, у всех API существуют свои достоинства и недостатки. Наименее удобными являются механизмы kqueue и inotify, но они же являются самыми эффективными и надежными. Коммерческие ОС предоставляют более удобные механизмы слежения за изменениями, но у них тоже есть свои особенности. Надеюсь, теперь вы имеете больше представления о том, как тяжела участь Dropbox и подобных программ, которым требуется со всем этим уживаться и осуществлять надежную и эффективную синхронизацию данных :).

* Картинка взята с www.alexblogger.com/2008_01_01_archive.html

Как отслеживать, кто обращается к файлам на файловых серверах Windows и читает их

На любом предприятии, использующем файловые серверы для хранения и обмена данными, аудит важен для обеспечения безопасности данных. Вы можете контролировать несколько файловых серверов в своем домене. В этой статье вы увидите, как отслеживать, кто обращается к файлам на файловых серверах Windows в вашей организации, с помощью встроенного аудита Windows Server. В конце статьи вы также узнаете, как это легко сделать с помощью Lepide File Server Auditor (часть платформы Lepide Data Security Platform) .

Вот шаги, чтобы отследить, кто читал файл на файловом сервере Windows.

Шаг 1. Установите политику аудита «Аудит доступа к объекту»

Выполните следующие шаги один за другим, чтобы включить политику аудита «Аудит доступа к объекту»:

  1. Запустите консоль «Управление групповой политикой». Для этого на основном «Контроллере домена» или в системе, где установлены «Инструменты администрирования», введите «gpmc.msc» в диалоговом окне «Выполнить» и нажмите «ОК».
  2. После того, как вы откроете окно «Управление групповой политикой», вам нужно будет создать новый объект групповой политики или отредактировать существующий.
  3. Чтобы отредактировать существующий объект групповой политики, на левой панели щелкните правой кнопкой мыши объект групповой политики по умолчанию или объект групповой политики, созданный пользователем, и выберите «Изменить» в контекстном меню. Это действие открывает окно редактора редактора управления групповыми политиками.

    Примечание: Если вы хотите отслеживать несколько папок, вам необходимо настроить аудит для каждой папки отдельно.

  4. Перейдите на вкладку «Безопасность».

    Примечание: Предлагается создать новый объект групповой политики, связать его с доменом и отредактировать.

  5. В окне «Редактор управления групповой политикой» необходимо установить соответствующую политику аудита.
  6. Для аудита доступа к файлам необходимо установить политику «Аудит доступа к объектам». Для этого перейдите в «Конфигурация компьютера» → «Параметры Windows» → «Параметры безопасности» → «Локальные политики» → «Политика аудита». Все доступные политики в разделе «Политика аудита» отображаются на правой панели. Рисунок 1: Политика «Аудит доступа к объектам»
  7. Дважды щелкните политику «Аудит доступа к объекту», чтобы открыть ее «Свойства». Рисунок 2: Свойства политики доступа к объекту аудита
  8. В этом окне установите флажок «Определить эти параметры политики». Затем у вас есть два варианта аудита - «Успех» и «Неудача». Первый позволяет вам проверять успешные попытки доступа к объектам, тогда как второй позволяет вам проверять неудачные попытки.
  9. Выберите один или оба варианта в соответствии с требованиями. Рекомендуется выбрать оба варианта. В нашем случае мы выбрали оба варианта, потому что хотим проверять как успешные, так и неудачные попытки.
  10. Нажмите «Применить» и «ОК», чтобы закрыть окно.
  11. Чтобы немедленно обновить групповую политику, а не ждать ее автоматического обновления, выполните следующую команду в «Командной строке»:

    Gpupdate / force

Шаг 2. Установите аудит файлов, которые вы хотите отслеживать.

После настройки GPO необходимо настроить аудит для каждого файла отдельно или для папок, содержащих файлы. Вот шаги:

  1. Откройте «Проводник Windows» и перейдите к файлу или папке, которые вы хотите проверить.
  2. Щелкните файл правой кнопкой мыши и выберите «Свойства» в контекстном меню. На экране появится окно свойств файла.

    Примечание: Если вы хотите отслеживать несколько файлов, поместите их в одну, две или несколько папок, чтобы облегчить их аудит. Это избавит вас от необходимости повторять эти шаги для каждого файла.

  3. По умолчанию на экране появляется вкладка «Общие» окна «Свойства». Перейдите на вкладку «Безопасность». Рисунок 3 Вкладка «Аудит» в «Дополнительные параметры безопасности»
  4. На вкладке «Безопасность» нажмите «Дополнительно», чтобы открыть окно «Дополнительные параметры безопасности для» на экране.
  5. В окне «Дополнительные параметры безопасности для» перейдите на вкладку «Аудит». Рисунок 4. Выбор пользователя, компьютера, учетной записи службы или группы
  6. На этой вкладке вы должны создать новую запись аудита. Для этого нажмите «Добавить». На экране появится окно «Запись для аудита».
  7. В окне «Аудит входа для» сначала выберите пользователей, действия которых вы хотите контролировать. Щелкните «Выбрать участника», чтобы открыть диалоговое окно «Выбор пользователя, компьютера, учетной записи службы или группы».
  8. Здесь выберите пользователей для аудита. Если вы хотите проверить действия всех пользователей, введите «Все» в поле «Введите имя объекта для выбора» и нажмите «Проверить имена». В нашем случае мы вводим «Все». Рисунок 5: Окно «Auditing Entry» файла
  9. Нажмите «ОК», чтобы закрыть диалоговое окно.
  10. В раскрывающемся списке «Тип» доступны три варианта: «Успешно», «Неудачно» и «Все». Мы выбираем вариант «Все», потому что хотим проверять как успешные, так и неудачные попытки.
  11. В разделе «Разрешения» вы можете выбрать все действия, которые вы хотите проверить. В случае аудита чтения файла выберите разрешения «Просматривать папку / Выполнить файл», «Список папок / Чтение данных», «Чтение атрибутов» и «Чтение расширенных атрибутов».

    ПРИМЕЧАНИЕ: Если вы хотите контролировать все действия, установите флажок «Полный доступ».

  12. Нажмите «ОК», чтобы закрыть окно «Запись аудита для аудита доступа к файлам». Рисунок 6: Событие доступа к файлу
  13. Вернувшись в окно «Дополнительные параметры безопасности», вы видите новую запись аудита.
  14. Нажмите «Применить» и «ОК», чтобы закрыть окно.
  15. Нажмите «Применить» и «ОК», чтобы закрыть свойства файла.

Шаг 3. Отслеживайте, кто читает файл, в средстве просмотра событий Windows

Чтобы узнать, кто читает файл, откройте «Средство просмотра событий Windows» и перейдите в «Журналы Windows» → «Безопасность». На правой панели есть опция «Фильтровать текущий журнал», чтобы найти соответствующие события.

Если кто-нибудь откроет файл, будут зарегистрированы события с идентификаторами 4656 и 4663. Например, в нашем случае кто-то открыл файл (Аудит доступа к файлам.txt), и, как показано на следующем изображении, было зарегистрировано событие доступа к файлу (ID 4663). Вы можете увидеть, кто получил доступ к файлу в поле «Имя учетной записи», а время доступа - в поле «Зарегистрированный».

На изображении ниже вы можете увидеть имя файла (C: \ Users \ Administrator \ Documents \ New Text Document.txt), которое отображается после прокрутки боковой панели вниз под полем «Имя объекта».

Рисунок 7: Имя файла в событии 4663

В следующем разделе вы увидите, как Lepide File Server Auditor может сделать аудит файлов еще более быстрым и простым.

Использование Lepide File Server Auditor для отслеживания событий чтения файлов

Вы можете использовать Lepide File Server Auditor, чтобы легко отслеживать события чтения файлов на ваших файловых серверах Windows. На следующем изображении показан отчет «Прочитано успешно». Полная информация аудита о доступе к файлу отображается в одной строке записи.

Рисунок 8: Отчет «Прочитано успешно»

На изображении выше вы можете увидеть тот же отчет о прочтении файла (C: \ Users \ Administrator \ Documents \ New Text Document.txt) на сервере файлового сервера Lepide. Событие выделяется, и вся контрольная информация, например, кто получил доступ к файлу, когда и из какой системы, доступна в одной строке записи.

Заключение

В этой статье рассматривается способ отслеживания событий чтения файлов на файловых серверах Windows. Вы также увидели, как сделать это намного проще с помощью Lepide File Server Auditor (часть платформы Lepide Data Security Platform), которая делает весь процесс более быстрым и своевременным. Таким образом, с помощью нашего решения вы можете легко отслеживать, кто читает файлы на ваших файловых серверах Windows.

Загрузить Lepide File Server Auditor

.

Как отслеживать доступ к файлам в Windows

Нужно ли вашей организации отслеживать доступ к файлам? Вам нужно контролировать доступ сотрудников к определенным или всем корпоративным файлам?

Из-за большого объема информации, хранящейся на файловых серверах и в системах управления документами, существует потребность в отслеживании доступа к файлам для защиты организаций от злоумышленников с авторизованным доступом, которые стремятся украсть интеллектуальную собственность.

Как американская биотехнологическая компания решила отслеживать доступ к своим файлам Windows

Желание проактивно отслеживать, проверять и составлять отчеты о доступе к файлам и папкам компании на серверах Windows 2003, 2008 и 2012 побудило ведущую биотехнологическую компанию США искать решение для аудита файлов.В то время компания активно не отслеживала доступ к файлам, что подвергало риску конфиденциальные корпоративные и бухгалтерские файлы.

После определения того, что разработка собственного решения будет занимать много времени и не будет содержать ключевых функций, таких как предупреждения и автоматическая доставка отчетов, компания быстро решила, что FileAudit обеспечит необходимую безопасность файлов в быстром темпе. установить и простое в использовании решение.

« Нам нужна была возможность записывать доступ к файлам и следить за тем, кто к каким файлам обращался. », - сказал администратор ИТ-систем и поддержки.

Сегодня FileAudit предоставляет организации полную видимость в реальном времени всех операций чтения, записи, удаления (или попыток доступа), изменений прав собственности на файлы и изменений разрешений.

Упреждающее отслеживание доступа к файлам и реагирование на эффективную безопасность

FileAudit выходит за рамки возможностей контроля доступа и ведения журнала - это способ выполнять как упреждающий, так и реактивный мониторинг безопасности.

  • При включенных предупреждениях и автоматических реакциях ИТ-отдел или руководство могут немедленно реагировать на любой несанкционированный доступ, быстро реагируя на пользователей, открывающих файлы или совместно использующих их.Определение неприемлемого может быть изменено в зависимости от пути, типа файла, типа доступа и т. Д.
  • Путем аудита всех обращений к файлу, если есть какие-либо проблемы с безопасностью, можно запустить отчет, чтобы увидеть, кто обращался к файлу или папке, и руководство может быстро решить эту проблему с этим человеком.
  • Если организации требуются записи о доступе к файлам для соответствия SOX или другим нормам, FileAudit обеспечивает централизацию, запись и долгосрочное архивирование всех событий доступа к файлам.

Начать отслеживание доступа к файлам менее чем за 10 минут

Установив FileAudit, ИТ-команда смогла начать мониторинг и создание отчетов о доступе к файлам менее чем за 10 минут.

Более того, серия коротких видеоуроков означает, что вы можете быстро научиться отслеживать события доступа к файлам на всех ваших серверах Windows Server. В этом видео показано, как воспользоваться преимуществами мощных возможностей фильтрации, которые фильтруют события доступа по различным критериям, чтобы сосредоточиться только на необходимой информации:

.

Как отслеживать действия с файлами и папками на файловых серверах Windows

Существует множество причин, по которым вы можете захотеть отслеживать действия с файлами и папками на файловых серверах Windows; включая безопасность данных и соответствие требованиям. Информация о том, когда пользователи открывают, читают, создают, изменяют или удаляют ваши файлы и папки, имеет первостепенное значение, когда дело доходит до обеспечения безопасности и целостности ваших файловых серверов. В этой статье мы покажем вам, как отслеживать, что происходит с вашими файлами и папками, используя собственные процессы, а также как использование Lepide File Server Auditor может помочь упростить весь процесс.Следующие шаги:

Шаг 1. Настройте политику аудита «Доступ к объекту аудита»

Выполните следующие шаги, чтобы настроить эту политику аудита:

  1. На основном контроллере домена или на рабочей станции, где установлены «Инструменты администрирования», откройте диалоговое окно «Выполнить», введите «gpmc.msc» и нажмите «ОК», чтобы открыть консоль «Управление групповой политикой».
  2. В окне «Управление групповой политикой» щелкните правой кнопкой мыши стандартную или настроенную политику домена и выберите «Изменить» в контекстном меню, чтобы открыть окно редактора управления групповой политикой.

    Примечание. Рекомендуется создать новый объект групповой политики, связать его с доменом и отредактировать.

  3. В окне «Редактор управления групповой политикой» перейдите к «Конфигурация компьютера» ➔ «Параметры Windows» ➔ «Параметры безопасности» ➔ «Локальные политики» ➔ «Политика аудита». Рисунок 1: Свойства политики «Аудит доступа к объекту»
  4. Дважды щелкните «Audit Object Access», чтобы просмотреть его свойства.
  5. Установите флажок «Определить эти параметры политики». Установите флажки «Успех» и «Ошибка». Рисунок 2: Политика «Аудит доступа к объекту»

Шаг 2. Настройте аудит файлов и папок

Выполните следующие шаги, чтобы включить аудит файлов и папок, которые вы хотите проверять на файловом сервере Windows.

  1. Откройте «Проводник Windows» и перейдите к папке, которую вы хотите отслеживать.
  2. Щелкните папку правой кнопкой мыши и выберите «Свойства» в контекстном меню. На экране появится окно свойств папки.

    Примечание: Если вы хотите отслеживать несколько папок, вам необходимо настроить аудит для каждой папки индивидуально.

  3. Перейдите на вкладку «Безопасность». Рисунок 3: Вкладка «Безопасность» свойств папки «Рабочие файлы»
  4. Нажмите «Дополнительно», чтобы получить доступ к «Расширенным настройкам безопасности». В окне «Дополнительные параметры безопасности» перейдите на вкладку «Аудит». Рисунок 4: Вкладка аудита окна «Дополнительные параметры безопасности»
  5. Чтобы создать новую запись аудита, нажмите «Добавить». На экране появится окно «Auditing Entry». Рисунок 5: Окно «Запись аудита» папки
  6. Нажмите «Выбрать принципала», чтобы выбрать пользователей, действия которых вы хотите отслеживать.
  7. На экране появится диалоговое окно «Выбор пользователя, компьютера, учетной записи службы или группы». Если вы хотите контролировать действия всех пользователей, введите «Все» в диалоговом окне «Введите имя объекта для выбора» и нажмите «Проверить имена». В нашем случае мы вводим «Все». Рисунок 6. Диалоговое окно «Выбор пользователей…»
  8. Нажмите «ОК», чтобы подтвердить свой выбор. Вы вернетесь в окно «Auditing Entry».
  9. Выберите «Все» в раскрывающемся меню «Тип», чтобы отслеживать как успешные, так и неудачные события.Вы можете выбрать «Успех», чтобы отслеживать только успешные события, или выбрать «Отказ», чтобы отслеживать только события отказа.
  10. В раскрывающемся меню «Относится к» выберите параметр «Эта папка, подпапка и файлы», если вы хотите проверить все подпапки и файлы в этой папке.
  11. Нажмите «Показать дополнительные разрешения» в разделе разрешений, чтобы просмотреть все разрешения. Выберите все действия, которые вы хотите проверить. Если вы хотите проверить все действия, установите флажок «Полный доступ».Здесь мы установили флажок «Полный доступ».
  12. Нажмите «ОК», чтобы применить настройки аудита. Он закрывает окно «Auditing Entry».
  13. Теперь на вкладке «Аудит» окна «Дополнительные параметры безопасности» вы можете увидеть недавно добавленную запись аудита.
  14. Нажмите «Применить» и «ОК» в окне «Дополнительные настройки безопасности», чтобы закрыть его.
  15. Нажмите «Применить» и «ОК», чтобы закрыть окно свойств папки.

Шаг 3. Просмотр событий в средстве просмотра событий Windows

После того, как вы настроили вышеуказанные параметры аудита, вы можете отслеживать любые изменения, внесенные в папки, подпапки и файлы.Для этого откройте «Средство просмотра событий Windows» и перейдите в «Журналы Windows» ➔ «Безопасность». На правой панели используйте опцию «Фильтровать текущий журнал», чтобы найти соответствующие события.

Например, если кто-то создаст новый файл, в журнал будут занесены события с идентификатором 4656 и 4663. Чтобы проиллюстрировать это, в нашем случае файл был создан в папке «Рабочие файлы». На следующем изображении вы можете увидеть подробную информацию о событии с идентификатором 4656:

. Рисунок 7: Событие создания объекта для файла

Вы можете увидеть имя нового файла (C: \ Work files \ New Text Document), которое становится видимым после прокрутки вниз боковой панели.

Тот же идентификатор события 4656 показывает все обращения к объектам, таким как файлы и папки.

С помощью Аудитора файлового сервера Lepide

Аудитор файлового сервера Lepide (часть Lepide Data Security Platform) может использоваться для отслеживания всех действий пользователей с файлами и папками. В отличие от собственного аудита, вам не нужно вручную включать аудит для разных файлов и папок. Вам просто нужно установить решение, один раз настроить параметры аудита, и все готово.

На следующем изображении показан отчет о создании файлов и папок. Вы можете фильтровать записи по любому столбцу; включая имя файла, время создания, имя пользователя и любой другой доступный столбец. Вся необходимая информация, относящаяся к событию создания, отображается в одной строке записи.

Рисунок 8: Отчет о создании файла

На изображении выше мы выделили запись, которая содержит информацию о том, где был создан файл. Ответы на все соответствующие вопросы аудита, такие как «кто, что, когда и где», доступны в одной записи.

Заключение

В этой статье вы узнали, как отслеживать все действия с файлами и папками на вашем файловом сервере Windows, используя как собственные методы, так и Lepide File Server Auditor. Очевидно, что это более простой вариант: программное обеспечение для аудита файлового сервера Lepide может помочь вам отслеживать все файлы и папки на ваших файловых серверах Windows.

Загрузить Lepide File Server Auditor

.

Как отслеживать изменения, внесенные в ваши файлы и папки

Активный и всесторонний аудит файловых серверов - важная часть поддержания безопасности ИТ-среды. Организации должны быть уверены, что они могут отслеживать, кто вносит изменения в их важные файлы и папки и что это за изменения.

К счастью, операционная система Microsoft Windows Server имеет несколько встроенных функций аудита файлового сервера, которые могут помочь вам получить представление о вносимых изменениях.

Ниже приводится подробное описание процедуры отслеживания действий с файлами и папками:

  1. Откройте окно «Выполнить», введите «gpmc.msc» и нажмите «ОК».
Запустите ‘ gpmc.msc ’ на DC или рабочей станции, где установлен пакет средств администрирования.
  1. Щелкните правой кнопкой мыши политику домена и выберите Изменить
  1. Дважды щелкните «Аудит доступа к объекту»
Теперь разверните Конфигурация компьютера → Параметры Windows → Параметры безопасности → Локальные политики → Политика аудита и дважды щелкните «Аудит доступа к объекту».
  1. Установите флажки Успех, Неудача или оба сразу
Установите флажки в соответствии с вашими потребностями в аудите.
  • Аудит только успешных попыток - установите флажок «Успешно».
  • Аудит только неудачных попыток - установите флажок «Неудачный».
  • Для проверки успешных и неудачных попыток - установите оба флажка.
  1. Щелкните папку правой кнопкой мыши и выберите Свойства
Теперь в проводнике Windows:
  • Выберите папку, в которой вы хотите отслеживать / проверять действия
  • Щелкните правой кнопкой мыши папку
  • Нажмите на свойства
  1. В окнах свойств щелкните вкладку Безопасность
В окнах «Свойства» перейдите на вкладку «Безопасность» и нажмите «Дополнительно».
  1. Щелкните вкладку Auditing и нажмите Edit
В диалоговом окне «Дополнительные параметры безопасности» перейдите на вкладку «Аудит» и нажмите «Изменить».

В новом диалоговом окне нажмите «Добавить» и добавьте всех в список.

Теперь в окне «Аудит для окна» выберите «Полный доступ» и нажмите «ОК». Наконец, закройте все открытые окна, нажав кнопки ОК

  1. Открыть «Просмотр событий»
Перейдите в меню «Пуск», чтобы открыть «Средство просмотра событий».Когда откроется «Средство просмотра событий»:

Разверните «Журналы Windows» → выберите «Безопасность» → нажмите «Фильтровать текущий журнал ..»

  1. Введите идентификатор события для его поиска
Введите идентификатор события, которое вы хотите найти. Здесь мы вводим идентификатор события 4656 (событие, которое генерируется, когда «запрошен дескриптор объекта»).
  1. Дважды щелкните любое событие, чтобы увидеть его подробности

Когда будут перечислены все события с идентификаторами, дважды щелкните любое событие, чтобы просмотреть сведения о нем.

Найдите другие идентификаторы соответствующих событий, указанные ниже.

Однако в большинстве случаев собственный аудит файлового сервера просто не дает достаточного уровня детализации. Это потому, что это полностью реактивный процесс. Для более эффективного аудита файлового сервера важно постоянно следить за изменениями. Это просто невозможно с собственными методами. К счастью, сторонние решения для аудита, такие как Lepide File Server Auditor, могут упростить этот процесс с помощью интуитивно понятных пользовательских интерфейсов и удобных функций для автоматизации задач, которые в противном случае потребовали бы очень много времени.

Как Lepide File Server Auditor может помочь вам лучше отслеживать активность файлов и папок

Lepide File Server Auditor (часть платформы Lepide Data Security Platform) фиксирует события файлов / папок, чтобы отслеживать все действия пользователей как на файловых серверах Windows, так и на файловых серверах NetApp. Решение создает «Отчет обо всех изменениях» на вкладке «Отчеты аудита», в котором отображается подробная информация обо всех изменениях (как в виде таблицы, так и в виде графика), внесенных пользователями в файловые системы.Ниже приведен снимок экрана с примером «Отчета обо всех изменениях».

Последняя нота

Когда дело доходит до внутреннего аудита, обеспечение безопасности ИТ-среды напрямую зависит от того, сколько времени у вас есть на регулярные аудиты и проверки работоспособности ваших файловых серверов. Если вы обнаружите, что у вас просто нет времени на собственный аудит или что процесс слишком сложен, вы всегда можете положиться на такие решения, как Lepide File Server Auditor.

Загрузить Lepide File Server Auditor

.

c ++ - Как отследить, какие сетевые порты пытается использовать любая программа?

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
.

4 инструмента для отслеживания того, что другие делают на вашем компьютере за вашей спиной

В наши дни наши компьютеры также служат сокровищницей частной информации. Таким образом, неплохо научиться отслеживать, что кто-то делает на компьютере, особенно когда этот «кто-то» шпионит там, где ему не следует находиться.

Давайте разберемся, как отслеживать активность компьютера и ловить шпионов с поличным.

Revealer Keylogger showing some recent logs

Если вы хотите знать, как отслеживать нажатия клавиш, не ищите ничего, кроме кейлоггера.Кейлоггеры - это уникальные программы, которые отслеживают активность клавиатуры и регистрируют все, что набирается.

whats-keylogger

Хотя кейлоггеры обычно используются в злонамеренных целях, вы можете использовать их самостоятельно для регистрации своего (или чужого) набора текста. Это самый простой способ поймать злоумышленников, так как одно нажатие клавиши выдаст игру.

Если вы хотите использовать бесплатные решения, Revealer Keylogger - хороший выбор.Эта удобная утилита регистрирует нажатия клавиш по мере их появления. Он также регистрирует точное время нажатия клавиши и приложение, в котором была введена буква.

Программное обеспечение можно скрыть от пользователя, чтобы он не догадывался, что попадает в вашу ловушку.Когда вы вернетесь, вы можете открыть программу, нажав Ctrl + Alt + F9 и проверить журналы.

Вы можете купить полную версию, чтобы разблокировать инструмент для создания снимков экрана, который будет делать снимки экрана при обнаружении активности клавиатуры.

Из-за вредоносной истории кейлоггера антивирусное программное обеспечение может помещать этот инструмент в карантин после загрузки.Перед установкой карантина необходимо удалить его.

Скачать: Revealer Keylogger (бесплатный, доступен только 32-разрядный установщик)

The logging page for All In One

Хотите больше функций и опций? Тогда вам следует выбрать платный маршрут.Один из лучших вариантов - All In One Keylogger, который фиксирует нажатия клавиш, как и любое другое программное обеспечение. Кроме того, он имеет расширенные параметры фильтрации журналов и возможность отправлять журналы на указанные адреса электронной почты, FTP-серверы или сетевые компьютеры.

Кроме того, это программное обеспечение может делать снимки экрана и записывать звуки через микрофон.Вы можете использовать эту опцию бесплатно в течение семи дней, но после этого вы заплатите 69,95 долларов.

All In One кейлоггер также продается по сниженной цене, если вы покупаете несколько копий оптом.Это идеально подходит для оснащения всего офиса для проверки на шпионаж.

Загрузить: All In One Keylogger (69 долларов.95, доступен только 32-битный установщик)

A screenshot of the SpyAgent software

Spytech предлагает хороший выбор программного обеспечения для компьютерного отслеживания, но их трекер активности для ПК SpyAgent особенно впечатляет.Он может отслеживать действия компьютера, такие как нажатия клавиш, щелчки, используемое программное обеспечение, историю просмотров и многое другое.

При первом запуске программы вам необходимо ввести пароль.Это используется как для запуска, так и для остановки записи, чтобы никто другой не мог вмешаться. Если вы хотите контролировать свой компьютер, нажмите кнопку Начать мониторинг , введите свой пароль и затем сверните его в скрытый режим.

Пока он скрыт, SpyAgent начнет отслеживать любую происходящую активность ПК.Он не позволяет пользователю узнать, что он запущен, и даже если он обнаружен, злоумышленник не сможет остановить мониторинг, если не узнает ваш специальный пароль.

Когда вы возвращаетесь, вы нажимаете специальную горячую клавишу, чтобы вывести окно из укрытия.После остановки SpyAgent предоставит вам подробную информацию обо всем, что произошло во время сеанса. Он даже будет периодически показывать вам скриншоты монитора, чтобы вы могли видеть, что происходит.

SpyAgent очень подробно описывает, что изменилось.Он даже обнаруживает файлы, которые удаляются или создаются в операционной системе, так что вы можете определить, что кто-то подделал ваши файлы. Это отличное универсальное решение, которое может контролировать каждую часть вашего компьютера.

Вы можете загрузить бесплатную пробную версию, чтобы испытать SpyAgent.Если это вас впечатлит, вы можете приобрести полную версию программного обеспечения за 69,95 долларов.

Предупреждение: Поскольку SpyAgent - это средство отслеживания активности ПК, ваш антивирус, скорее всего, испытает паническую атаку, когда вы загрузите пробную версию.Обязательно сообщите ему, чтобы он оставил файл в покое, иначе вы никогда не пройдете этап установки.

Скачать: SpyAgent (69 $.95, доступен только 32-битный установщик)

The main capture screen for iSpy

Допустим, несанкционированное использование компьютера - это только начало ваших проблем.Что, если вас также беспокоит то, что происходит с вашим компьютером? Кейлоггер или монитор активности здесь не помогут.

Вот где на помощь приходит iSpy.Это бесплатное программное обеспечение с открытым исходным кодом может отслеживать активность компьютера через веб-камеру. Он имеет функции отслеживания движения и планирования, которые позволяют записывать только тогда, когда вам нужно.

Он также имеет возможность автоматически загружать записанное видео в Интернет, в том числе на YouTube.Это удобно, потому что позволяет сразу же удаленно сохранять видео, защищая его от любых попыток удалить.

Когда вы впервые устанавливаете и запускаете iSpy, он просит вас добавить камеру.Как только вы это сделаете, он покажет ваш канал и зеленую полосу под ним. Зеленая полоса может выглядеть как уровни звука микрофона, но не обманывайте себя. Эта полоса на самом деле показывает, сколько движения обнаруживает iSpy. Чем больше движений обнаруживает iSpy, тем больше заполняется зеленая полоса. Если полоса переместится над красными стрелками, начнется запись.

Таким образом, рекомендуется привыкнуть к iSpy, прежде чем использовать его по-настоящему.Оставьте программу включенной и выйдите из зоны обзора веб-камеры. Затем представьте себе злоумышленника, сядьте и начните пользоваться компьютером.

Как только вы закончите, вы можете увидеть, когда запускался iSpy и какие движения начали запись.Убедитесь, что фоновое движение не регистрируется; Вы же не хотите 30 минут на съемку прогуливающихся кошек.

Загрузить: iSpy (доступны бесплатная, 32- и 64-разрядная версии)

Защита вашей конфиденциальности от слежки

С помощью вышеперечисленных инструментов вы теперь знаете, как отслеживать активность ПК, даже когда вас нет в комнате.Вы можете узнать, что было набрано, какие веб-сайты были посещены, какие файлы были загружены и какие электронные письма были отправлены. Вы даже можете удаленно видеть, что происходит перед вашим компьютером, через веб-камеру.

Если вы хотите отслеживать злоумышленников, не загружая инструменты, обязательно попробуйте эти способы, позволяющие определить, шпионил ли кто-то за вашим компьютером.

Woman talking to their phone outside 10 забавных вещей, которые стоит задать Siri на iPhone и Mac

Нужно посмеяться? Возьмите свой iPhone и попробуйте прямо сейчас задать Сири эти забавные вопросы.Вы будете удивлены ее ответами.

Об авторе Саймон Батт (Опубликовано 384 статей)

Выпускник бакалавриата по компьютерным наукам, глубоко увлеченный безопасностью.После работы в инди-игровой студии он обнаружил страсть к писательству и решил использовать свои навыки, чтобы писать обо всем, что связано с технологиями.

Больше От Саймона Батта
Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

.

Смотрите также