Cat Guardian - Несанкционированные изменения exe и dll

Программа для отслеживания несанкционированных изменений в файловой системе (exe и dll) критически важных областей операционной системы Windows.

Зачем отслеживать изменения exe и dll файлов?

Старые специалисты по информационной безопасности должны помнить первые антивирусы, которые просто снимали контрольные суммы всех системных файлов и если они менялись, значит файл заражен. Тогда не было графики и обновлений ОС. Позже добавился сигнатурный и эвристический поиск, а старая технология забылась.

Сегодня 100% защиту не может обеспечить ни один антивирус, так как до появления сигнатуры определенного вируса в базе, вирус сначала должен заразить определенное количество компьютеров, и только после этого он попадёт в поле зрения антивирусной компании. Даже эвристические алгоритмы имеют определенную базу зловредных действий, то есть всё опять же сводится к угрозе нулевого дня, когда до начала детектирования вредоносного действия зловредным программным обеспечением, от его действий должно пострадать определенное количество компьютеров.

Также следует понимать, что нынешнее вредоносное программное обеспечение не ставит своей целью уничтожить всё сразу. Цели могут быть следующие:

• заражение системы, незаметное пребывание и сбор информации с последующим её направлением злоумышленнику;
• долговременное пребывание перед шифрованием систем для нейтрализации возможности решить проблему при помощи резервной копии;
• незаметный майнинг, который обычно съедает не больше 10-20% ресурсов;
• участие в ddos атаках на различные организации.

Как видите, во всех указанных случаях ключевым моментом является незаметное пребывание. Нет смысла использовать все ресурсы для майнинга или ddos атаки, так как это может оперативно заметить пользователь и предпринять меры, а вот если использовать 10-20%, то вероятность остаться незамеченным весьма высока. Лучше иметь 300 таких компьютеров в бот-сети в течении длительного времени, нежели в течении пары дней.

Как обнаружить неизвестный вирус?

Программа Cat Guardian снимает контрольные суммы с exe и dll файлов в критически важных областях системы, что позволяет обнаруживать их несанкционированные изменения.

Она представляет собой экспертную систему, предполагая, что пользователь проверит измененный файл при помощи интернет-песочниц и таких сервисов, как VirusTotal.

Если exe или dll файл изменился, а обновления системы не производились или отключены, и не было установок новых программ, тогда такой файл следует проанализировать на предмет наличия зловредного кода.

Что делает программа Cat Guardian?

Cat Guardian позволяет обнаружить несанкционированные изменения файлов формата exe и dll в следующих директориях:

• C:\Windows;
• C:\Program Files (x86);
• C:\Program Files.

Cat Guardian функционально разделена на три части;

1. поиск новых файлов и запись в базу данных;
2. поиск новых файлов;
3. поиск измененных файлов.

Базу данных можно очистить при помощи соответствующего пункта во вкладке файл.

Первым действием необходимо записать новые файлы в базу данных, так как эта информация используется в остальных функциях.

Что планируется сделать в будущем?

В планах:

• при возврате на главную нужно обновлять статистику;
• найти новые и запись изменений - размер окна под контент.