SysWatch components — различия между версиями
EElagina (обсуждение | вклад) (→Каталог данных) |
EElagina (обсуждение | вклад) м (EElagina переименовал страницу Компоненты и составные части SysWatch в SysWatch components) |
||
| (не показано 5 промежуточных версий этого же участника) | |||
| Строка 1: | Строка 1: | ||
| − | + | {{DISPLAYTITLE:Компоненты и составные части SysWatch|noreplace}} | |
===Процессы=== | ===Процессы=== | ||
====Службы==== | ====Службы==== | ||
| Строка 13: | Строка 13: | ||
Антивирусный сканер — snsods.exe. | Антивирусный сканер — snsods.exe. | ||
| − | Графический интерфейс программы | + | Графический интерфейс программы — snsmcon.exe. |
Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe. | Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe. | ||
| Строка 21: | Строка 21: | ||
===Зависимости=== | ===Зависимости=== | ||
====Драйверы и службы==== | ====Драйверы и службы==== | ||
| − | Драйвер snscore.sys зависит от драйвера FltMgr (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr), иногда случается, что [http://sns_wiki/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_FltMgr | + | Драйвер snscore.sys зависит от драйвера FltMgr (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr), иногда случается, что [http://sns_wiki/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_FltMgr эта служба отсутствует]. |
Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr). | Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr). | ||
| − | Остальные | + | Остальные драйверы не содержат зависимостей. |
| − | Обновление модулей зависит от настроек IE (например при флажке | + | Обновление модулей зависит от настроек IE (например при флажке «работать автономно» в IE обновление не запустится, в логе будет сообщение «SW upd: Ошибка инициализации модуля»). |
| Строка 38: | Строка 38: | ||
RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService; | RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService; | ||
| − | RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от | + | RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от нее зависит RPCSS; |
Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме). | Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме). | ||
| + | |||
====Библиотеки==== | ====Библиотеки==== | ||
Зависмости службы safensec, библиотеки в C:\Windows\System32\: | Зависмости службы safensec, библиотеки в C:\Windows\System32\: | ||
| Строка 57: | Строка 58: | ||
|- | |- | ||
|GDI32.DLL | |GDI32.DLL | ||
| − | |Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами | + | |Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами |
|- | |- | ||
|IMAGEHLP.DLL | |IMAGEHLP.DLL | ||
| − | |Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата | + | |Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата |
|- | |- | ||
|IPHLPAPI.DLL | |IPHLPAPI.DLL | ||
| − | |API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения | + | |API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения |
|- | |- | ||
|KERNEL32.DLL | |KERNEL32.DLL | ||
| − | |Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов | + | |Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов |
|- | |- | ||
|MSASN1.DLL | |MSASN1.DLL | ||
| − | |ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One | + | |ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One |
|- | |- | ||
|MSI.DLL | |MSI.DLL | ||
| − | |Главная библиотека Windows Installer | + | |Главная библиотека Windows Installer |
|- | |- | ||
|MSVCRT.DLL | |MSVCRT.DLL | ||
| − | |Windows NT CRT DLL — библиотека C Runtime | + | |Windows NT CRT DLL — библиотека C Runtime |
|- | |- | ||
|NETAPI32.DLL | |NETAPI32.DLL | ||
| Строка 84: | Строка 85: | ||
|- | |- | ||
|OLE32.DLL | |OLE32.DLL | ||
| − | |Библиотека Object Linking and Embedding для Windows | + | |Библиотека Object Linking and Embedding для Windows |
|- | |- | ||
|OLEAUT32.DLL | |OLEAUT32.DLL | ||
| Строка 90: | Строка 91: | ||
|- | |- | ||
|PSAPI.DLL | |PSAPI.DLL | ||
| − | |Библиотека Process Status API, позволяющая получать подробную информацию о процессах | + | |Библиотека Process Status API, позволяющая получать подробную информацию о процессах |
|- | |- | ||
|RPCRT4.DLL | |RPCRT4.DLL | ||
| − | |Библиотека удаленного вызова процедур | + | |Библиотека удаленного вызова процедур |
|- | |- | ||
|SECUR32.DLL | |SECUR32.DLL | ||
| − | |Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети | + | |Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети |
|- | |- | ||
|SETUPAPI.DLL | |SETUPAPI.DLL | ||
| − | |Setup API, устаревшая реализация, предоставляющая | + | |Setup API, устаревшая реализация, предоставляющая функциональность инсталляции |
|- | |- | ||
|SHELL32.DLL | |SHELL32.DLL | ||
| − | |Общая библиотека оболочки Windows | + | |Общая библиотека оболочки Windows |
|- | |- | ||
|SHLWAPI.DLL | |SHLWAPI.DLL | ||
| − | |Библиотека небольших программ оболочки | + | |Библиотека небольших программ оболочки |
|- | |- | ||
|USER32.DLL | |USER32.DLL | ||
| − | |Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия | + | |Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия |
|- | |- | ||
|USERENV.DLL | |USERENV.DLL | ||
| Строка 114: | Строка 115: | ||
|- | |- | ||
|VERSION.DLL | |VERSION.DLL | ||
| − | |Библиотека работы с версиями файлов | + | |Библиотека работы с версиями файлов |
|- | |- | ||
|WININET.DLL | |WININET.DLL | ||
| − | |Функционал работы с соединениями с | + | |Функционал работы с соединениями с интернетом для Win32 |
|- | |- | ||
|WINSTA.DLL | |WINSTA.DLL | ||
| − | |Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение | + | |Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение |
|- | |- | ||
|WINTRUST.DLL | |WINTRUST.DLL | ||
| − | |Microsoft Trust Verification APIs | + | |Microsoft Trust Verification APIs |
|- | |- | ||
|WLDAP32.DLL | |WLDAP32.DLL | ||
| − | |Win32 Lightweight Directory Access Protocol API DLL | + | |Win32 Lightweight Directory Access Protocol API DLL |
|- | |- | ||
|WS2_32.DLL | |WS2_32.DLL | ||
| − | |32-разрядная библиотека Windows Socket 2.0 | + | |32-разрядная библиотека Windows Socket 2.0 |
|- | |- | ||
|WS2HELP.DLL | |WS2HELP.DLL | ||
| Строка 155: | Строка 156: | ||
====Папки:==== | ====Папки:==== | ||
*''Backups\'' — эта папка пуста, возможно, дублирует схожую в ''C:\ProgramData\'', в эту папку сохраняются настройки клиента (2 файла: ''default.xmlc'' – настройки по умолчанию, ''configs.xmlc'' – текущие настройки). | *''Backups\'' — эта папка пуста, возможно, дублирует схожую в ''C:\ProgramData\'', в эту папку сохраняются настройки клиента (2 файла: ''default.xmlc'' – настройки по умолчанию, ''configs.xmlc'' – текущие настройки). | ||
| − | *''Data\'' — файл с базой данных настроек программы (''storage.dbb / storage.dbs''), в этом файле так же находятся настроенные | + | *''Data\'' — файл с базой данных настроек программы (''storage.dbb/storage.dbs''), в этом файле так же находятся настроенные политики, пароль от входа в программы и т.п. |
*''Driver\'' — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки. | *''Driver\'' — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки. | ||
| − | *''EventsDB\'' — база данных событий на клиенте (запуск блок. | + | *''EventsDB\'' — база данных событий на клиенте (запуск блок. приложения и т.п.). Сюда скапливаются события, которые впоследствии отправляются на сервер. |
*''Plugins\'' — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы. | *''Plugins\'' — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы. | ||
*''Resources\'' — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно). | *''Resources\'' — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно). | ||
| Строка 165: | Строка 166: | ||
*''Common Logs\'' — тут логи работы службы safensec. | *''Common Logs\'' — тут логи работы службы safensec. | ||
*''Quarantine\'' — здесь объекты, помещаемые на карантин при антивирусной проверке. | *''Quarantine\'' — здесь объекты, помещаемые на карантин при антивирусной проверке. | ||
| − | *''Reports\'' — [http://sns_wiki/index.php/%D0%9B%D0%BE%D0%B3%D0%B8_TPSecure#.D0.9E.D1.82.D1.87.D1.91.D1.82.D1.8B | + | *''Reports\'' — [http://sns_wiki/index.php/%D0%9B%D0%BE%D0%B3%D0%B8_TPSecure#.D0.9E.D1.82.D1.87.D1.91.D1.82.D1.8B основной каталог отчетов], именно он открывается в Проводнике при выборе пункта «Отчеты» в меню иконки SysWatch. Содержит файлы с именами вида: |
| − | ''system_[date]_[time].txt'' — | + | ''system_[date]_[time].txt'' — отчеты о событиях безопасности. Самый поздний файл открывается при выборе пункта «Подробно» в главном окне SysWatch. Состоят они из записей вида |
01.06.2016 13:15:22 Нарушение политики контроля приложений. | 01.06.2016 13:15:22 Нарушение политики контроля приложений. | ||
| Строка 198: | Строка 199: | ||
===Записи в реестре=== | ===Записи в реестре=== | ||
====Общие ключи==== | ====Общие ключи==== | ||
| − | *HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources — папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. | + | *HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources — папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Также сюда прописываются значения: |
**DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных. | **DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных. | ||
| − | **AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки | + | **AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки «Собрать профиль» в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных. |
*HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта. | *HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта. | ||
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей. | *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей. | ||
*HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2 | *HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2 | ||
| − | *HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: | + | *HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: «Ошибка 1920 запуска службы sns под учетной записью system», и установка прервется. |
====Служба safensec==== | ====Служба safensec==== | ||
| − | *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — | + | *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключен. |
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме; | *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме; | ||
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети; | *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети; | ||
| Строка 261: | Строка 262: | ||
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP | *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP | ||
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp | *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp | ||
| + | [[Category:SysWatch - Diagnostics{{#translation:}}]] | ||
Текущая версия на 13:10, 1 июня 2020
Процессы
Службы
Главная служба обработки правил и событий — safensec.. Главный драйвер, следящий за целостностью файлов по контрольным суммам, — snscore;
Драйвер контроля COM- и LPT-портов — snscomlpt.
Служба работы с Windows Filtering Platform, присутствует в Windows 7 и старше — snswfp, она устанавливается только при запуске инсталлятора в Windows 7.
Ее аналог для Windows XP — snstdi. На одной системе может быть исключительно или он, или snswfp.
Прочие процессы
Антивирусный сканер — snsods.exe.
Графический интерфейс программы — snsmcon.exe.
Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe.
Модуль обновления — snsupd.exe.
Зависимости
Драйверы и службы
Драйвер snscore.sys зависит от драйвера FltMgr (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr), иногда случается, что эта служба отсутствует.
Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr).
Остальные драйверы не содержат зависимостей.
Обновление модулей зависит от настроек IE (например при флажке «работать автономно» в IE обновление не запустится, в логе будет сообщение «SW upd: Ошибка инициализации модуля»).
Служба safensec зависит от:
seclogon - служба Secondary Logon, обеспечивающая запуски процессов от другого пользователя (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon);
TermService - служба Terminal services (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService), которая предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах;
RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService;
RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от нее зависит RPCSS;
Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме).
Библиотеки
Зависмости службы safensec, библиотеки в C:\Windows\System32\:
| Название библиотеки | Описание |
| ADVAPI32.DLL | Расширенная библиотека API Windows 32 |
| CRYPT32.DLL | 32-разрядный API криптографии |
| FLTLIB.DLL | Библиотека фильтров, используемая FltMgr |
| GDI32.DLL | Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами |
| IMAGEHLP.DLL | Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата |
| IPHLPAPI.DLL | API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения |
| KERNEL32.DLL | Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов |
| MSASN1.DLL | ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One |
| MSI.DLL | Главная библиотека Windows Installer |
| MSVCRT.DLL | Windows NT CRT DLL — библиотека C Runtime |
| NETAPI32.DLL | Net Win32 API DLL |
| NTDLL.DLL | Системная библиотека NT |
| OLE32.DLL | Библиотека Object Linking and Embedding для Windows |
| OLEAUT32.DLL | |
| PSAPI.DLL | Библиотека Process Status API, позволяющая получать подробную информацию о процессах |
| RPCRT4.DLL | Библиотека удаленного вызова процедур |
| SECUR32.DLL | Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети |
| SETUPAPI.DLL | Setup API, устаревшая реализация, предоставляющая функциональность инсталляции |
| SHELL32.DLL | Общая библиотека оболочки Windows |
| SHLWAPI.DLL | Библиотека небольших программ оболочки |
| USER32.DLL | Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия |
| USERENV.DLL | |
| VERSION.DLL | Библиотека работы с версиями файлов |
| WININET.DLL | Функционал работы с соединениями с интернетом для Win32 |
| WINSTA.DLL | Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение |
| WINTRUST.DLL | Microsoft Trust Verification APIs |
| WLDAP32.DLL | Win32 Lightweight Directory Access Protocol API DLL |
| WS2_32.DLL | 32-разрядная библиотека Windows Socket 2.0 |
| WS2HELP.DLL | Windows Socket 2.0 Helper for Windows NT |
| WTSAPI32.DLL | Windows Remote Desktop Session Host Server SDK APIs |
Директории и файлы
Установочный каталог
По умолчанию SysWatch устанавливается в директорию C:\Program Files\SafenSoft\SysWatch (для 64-разрядных версий Windows — в Program Files (x86)\). Она содержит следующее.
Файлы:
- runasex.exe — отвечает за запуск приложения под учетной записью V.I.P.O.
- safensec.exe — исполняемый файл сервиса SysWatch.
- setuphelper.exe — подсказки удаления/регистрации в момент установки/удаления продукта.
- Snsdlg.dll – библиотека графического интерфейса.
- snsmcon.exe — локальный графический интерфейс.
- snsnotify.exe — отвечает за оповещения в системном лотке.
- Snsps_x86.dll — библиотека сервиса safensec.
- Snsps_x64.dll — она же, 64-разрядная версия.
- snsupd.exe — отвечает за обновление баз и модулей программы.
- wincont.exe — отвечает за алерты выскакивающие по центру экрана.
- update_log.txt — лог MSIExec, возникает при обновлении SW.
- validata.exe – отвечает за проверку подлинности диска (только для специальных дисков Starforce). В современных релизах отсутствует, есть в версии для Сбербанка.
Папки:
- Backups\ — эта папка пуста, возможно, дублирует схожую в C:\ProgramData\, в эту папку сохраняются настройки клиента (2 файла: default.xmlc – настройки по умолчанию, configs.xmlc – текущие настройки).
- Data\ — файл с базой данных настроек программы (storage.dbb/storage.dbs), в этом файле так же находятся настроенные политики, пароль от входа в программы и т.п.
- Driver\ — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки.
- EventsDB\ — база данных событий на клиенте (запуск блок. приложения и т.п.). Сюда скапливаются события, которые впоследствии отправляются на сервер.
- Plugins\ — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы.
- Resources\ — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно).
Каталог данных
В каталоге C:\Documents and Settings\All Users\Application Data\ (Windows XP) или C:\ProgramData\ (Windows 7 и новее) располагается каталог данных SysWatch — S.N.Safe&Software\Safe'n'Sec. В нем содержится следующее:
- Backup\ — каталог с файлами configs.xmlc и default.xmlc. Первый — экспорт текущих настроек SysWatch, второй — настройки по умолчанию.
- Common Logs\ — тут логи работы службы safensec.
- Quarantine\ — здесь объекты, помещаемые на карантин при антивирусной проверке.
- Reports\ — основной каталог отчетов, именно он открывается в Проводнике при выборе пункта «Отчеты» в меню иконки SysWatch. Содержит файлы с именами вида:
system_[date]_[time].txt — отчеты о событиях безопасности. Самый поздний файл открывается при выборе пункта «Подробно» в главном окне SysWatch. Состоят они из записей вида
01.06.2016 13:15:22 Нарушение политики контроля приложений.
- Тип активности: Программа пытается прочесть контролируемый файл.
- Пользователь: NT AUTHORITY\СИСТЕМА
- Программа: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
- Файл: C:\WINDOWS\SYSTEM32\DRVINST.EXE
- Решение: Запрещено
profile_[date]_[time].txt — отчеты о сборе профиля.
scan_[date]_[time].txt — отчеты об антивирусном сканировании.
update_[date]_[time].txt — отчеты об обновлении.
sw_notify_[date]_[time].txt — логи соединения с Service Center, этот вид журналирования включается отдельно.
- snsnotify.xml — сюда помещается сообщение об инциденте, которое тут же отображается модулем snsnotify.exe.
- threats.xml — перечень обнаруженных при проверке угроз.
Файлы драйверов
Располагаются они в C:\Windows\System32\drivers\.
- snscore.sys — наш драйвер проверки хеш-сумм.
- snscomlpt.sys — драйвер, контролирующий COM- и LPT-порты.
- snstdi.sys — драйвер сетевой фильтрации(для политики контроля сети)для Windows XP.
- snswfp.sys — аналог предыдущего для Windows 7 и старше.
- snscore4.dat — база драйвера проверки хеш-сумм (содержит профиль системы). Данный файл имеет атрибуты системного и без их снятия не удаляется.
- snscore.pi — перечень всех объектов в профиле. Служит для просмотра профиля через Service Center и удаления из него отдельных файлов. Присутствует в версии 4.0.48 и выше.
- snscore.blk — слепок системы (1 уровень защиты). В последних версиях данного файла нет.
- snscore.log — расширенный лог драйвера, это логирование включается отдельно.
Записи в реестре
Общие ключи
- HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources — папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Также сюда прописываются значения:
- DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
- AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки «Собрать профиль» в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
- HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей.
- HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2
- HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: «Ошибка 1920 запуска службы sns под учетной записью system», и установка прервется.
Служба safensec
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключен.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме;
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети;
- Также к службе safensec относятся записи:
HKEY_CLASSES_ROOT\AppID\safensec.exe
HKEY_CLASSES_ROOT\Wow6432Node\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\safensec
Драйвер snscore
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsCore — основная ветка службы;
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSCORE
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSCORE
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSCORE
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsCore
Сервис контроля портов snscomlpt
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsComlpt
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsComlpt
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsComlpt
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E978-E325-11CE-BFC1-08002BE10318}, ключ UpperFilters.
Важно! при удалении SysWatch вручную значение этого ключа надо зачистить от упоминания SnsComLpt, иначе порты будут блокированы! Это мультистроковый параметр (тип REG_MULTI_SZ), он может содержать перечень драйверов фильтрации. Из этого списка нужно удалить SnsComLpt, а если в ключе только эта строка, нужно удалить весь ключ.
Служба сетевой фильтрации snstdi, Windows XP
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsTdi
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSTDI
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SnsTdi
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSTDI
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SnsTdi
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSTDI
Служба сетевой фильтрации snswfp, Windows 7 и новее
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSWFP
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsWfp
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSWFP
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsWfp
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp
