SysWatch components — различия между версиями

Материал из SafenSoft Wiki
Перейти к: навигация, поиск
м (EElagina переименовал страницу Компоненты и составные части SysWatch в SysWatch components)
 
(не показаны 2 промежуточные версии этого же участника)
Строка 1: Строка 1:
[[Category:SysWatch - Диагностика]]
+
{{DISPLAYTITLE:Компоненты и составные части SysWatch|noreplace}}
 
===Процессы===
 
===Процессы===
 
====Службы====
 
====Службы====
Строка 13: Строка 13:
 
Антивирусный сканер — snsods.exe.
 
Антивирусный сканер — snsods.exe.
  
Графический интерфейс программы -- snsmcon.exe.
+
Графический интерфейс программы snsmcon.exe.
  
 
Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe.
 
Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe.
Строка 25: Строка 25:
 
Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr).
 
Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr).
  
Остальные драйвера не содержат зависимостей.
+
Остальные драйверы не содержат зависимостей.
  
Обновление модулей зависит от настроек IE (например при флажке "работать автономно" в IE обновление не запустится, в логе будет сообщение "SW upd: Ошибка инициализации модуля").
+
Обновление модулей зависит от настроек IE (например при флажке «работать автономно» в IE обновление не запустится, в логе будет сообщение «SW upd: Ошибка инициализации модуля»).
  
  
Строка 38: Строка 38:
 
RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService;
 
RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService;
  
RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от неё зависит RPCSS;
+
RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от нее зависит RPCSS;
  
 
Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме).
 
Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме).
Строка 58: Строка 58:
 
  |-
 
  |-
 
  |GDI32.DLL
 
  |GDI32.DLL
  |Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами.
+
  |Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами
 
  |-
 
  |-
 
  |IMAGEHLP.DLL
 
  |IMAGEHLP.DLL
  |Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата.
+
  |Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата
 
  |-
 
  |-
 
  |IPHLPAPI.DLL
 
  |IPHLPAPI.DLL
  |API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения.
+
  |API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения
 
  |-
 
  |-
 
  |KERNEL32.DLL
 
  |KERNEL32.DLL
  |Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов.
+
  |Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов
 
  |-
 
  |-
 
  |MSASN1.DLL
 
  |MSASN1.DLL
  |ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One.
+
  |ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One
 
  |-
 
  |-
 
  |MSI.DLL
 
  |MSI.DLL
  |Главная библиотека Windows Installer.
+
  |Главная библиотека Windows Installer
 
  |-
 
  |-
 
  |MSVCRT.DLL
 
  |MSVCRT.DLL
  |Windows NT CRT DLL — библиотека C Runtime.
+
  |Windows NT CRT DLL — библиотека C Runtime
 
  |-
 
  |-
 
  |NETAPI32.DLL
 
  |NETAPI32.DLL
Строка 85: Строка 85:
 
  |-
 
  |-
 
  |OLE32.DLL
 
  |OLE32.DLL
  |Библиотека Object Linking and Embedding для Windows.
+
  |Библиотека Object Linking and Embedding для Windows
 
  |-
 
  |-
 
  |OLEAUT32.DLL
 
  |OLEAUT32.DLL
Строка 91: Строка 91:
 
  |-
 
  |-
 
  |PSAPI.DLL
 
  |PSAPI.DLL
  |Библиотека Process Status API, позволяющая получать подробную информацию о процессах.
+
  |Библиотека Process Status API, позволяющая получать подробную информацию о процессах
 
  |-
 
  |-
 
  |RPCRT4.DLL
 
  |RPCRT4.DLL
  |Библиотека удаленного вызова процедур.
+
  |Библиотека удаленного вызова процедур  
 
  |-
 
  |-
 
  |SECUR32.DLL
 
  |SECUR32.DLL
  |Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети.
+
  |Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети
 
  |-
 
  |-
 
  |SETUPAPI.DLL
 
  |SETUPAPI.DLL
  |Setup API, устаревшая реализация, предоставляющая функционал инсталляции  
+
  |Setup API, устаревшая реализация, предоставляющая функциональность инсталляции  
 
  |-
 
  |-
 
  |SHELL32.DLL
 
  |SHELL32.DLL
  |Общая библиотека оболочки Windows.
+
  |Общая библиотека оболочки Windows
 
  |-
 
  |-
 
  |SHLWAPI.DLL
 
  |SHLWAPI.DLL
  |Библиотека небольших программ оболочки.
+
  |Библиотека небольших программ оболочки
 
  |-
 
  |-
 
  |USER32.DLL
 
  |USER32.DLL
  |Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия.
+
  |Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия
 
  |-
 
  |-
 
  |USERENV.DLL
 
  |USERENV.DLL
Строка 115: Строка 115:
 
  |-
 
  |-
 
  |VERSION.DLL
 
  |VERSION.DLL
  |Библиотека работы с версиями файлов.
+
  |Библиотека работы с версиями файлов
 
  |-
 
  |-
 
  |WININET.DLL
 
  |WININET.DLL
  |Функционал работы с соединениями с Интернетом для Win32.
+
  |Функционал работы с соединениями с интернетом для Win32
 
  |-
 
  |-
 
  |WINSTA.DLL
 
  |WINSTA.DLL
  |Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение.
+
  |Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение
 
  |-
 
  |-
 
  |WINTRUST.DLL
 
  |WINTRUST.DLL
  |Microsoft Trust Verification APIs.
+
  |Microsoft Trust Verification APIs
 
  |-
 
  |-
 
  |WLDAP32.DLL
 
  |WLDAP32.DLL
  |Win32 Lightweight Directory Access Protocol API DLL.
+
  |Win32 Lightweight Directory Access Protocol API DLL
 
  |-
 
  |-
 
  |WS2_32.DLL
 
  |WS2_32.DLL
  |32-разрядная библиотека Windows Socket 2.0.
+
  |32-разрядная библиотека Windows Socket 2.0
 
  |-
 
  |-
 
  |WS2HELP.DLL
 
  |WS2HELP.DLL
Строка 156: Строка 156:
 
====Папки:====
 
====Папки:====
 
*''Backups\'' — эта папка пуста, возможно, дублирует схожую в ''C:\ProgramData\'', в эту папку сохраняются настройки клиента (2 файла: ''default.xmlc'' – настройки по умолчанию, ''configs.xmlc'' – текущие настройки).
 
*''Backups\'' — эта папка пуста, возможно, дублирует схожую в ''C:\ProgramData\'', в эту папку сохраняются настройки клиента (2 файла: ''default.xmlc'' – настройки по умолчанию, ''configs.xmlc'' – текущие настройки).
*''Data\'' — файл с базой данных настроек программы (''storage.dbb / storage.dbs''), в этом файле так же находятся настроенные политики, пароль от входа в программы и т.п.
+
*''Data\'' — файл с базой данных настроек программы (''storage.dbb/storage.dbs''), в этом файле так же находятся настроенные политики, пароль от входа в программы и т.п.
 
*''Driver\'' — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки.
 
*''Driver\'' — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки.
*''EventsDB\'' — база данных событий на клиенте (запуск блок. Приложения и т.п.). Сюда скапливаются события, которые впоследствии отправляются на сервер.
+
*''EventsDB\'' — база данных событий на клиенте (запуск блок. приложения и т.п.). Сюда скапливаются события, которые впоследствии отправляются на сервер.
 
*''Plugins\''  — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы.
 
*''Plugins\''  — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы.
 
*''Resources\'' — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно).
 
*''Resources\'' — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно).
Строка 166: Строка 166:
 
*''Common Logs\'' — тут логи работы службы safensec.
 
*''Common Logs\'' — тут логи работы службы safensec.
 
*''Quarantine\'' — здесь объекты, помещаемые на карантин при антивирусной проверке.
 
*''Quarantine\'' — здесь объекты, помещаемые на карантин при антивирусной проверке.
*''Reports\'' — [http://sns_wiki/index.php/%D0%9B%D0%BE%D0%B3%D0%B8_TPSecure#.D0.9E.D1.82.D1.87.D1.91.D1.82.D1.8B основной каталог отчетов], именно он открывается в Проводнике при выборе пункта "Отчеты" в меню иконки SysWatch. Содержит файлы с именами вида:
+
*''Reports\'' — [http://sns_wiki/index.php/%D0%9B%D0%BE%D0%B3%D0%B8_TPSecure#.D0.9E.D1.82.D1.87.D1.91.D1.82.D1.8B основной каталог отчетов], именно он открывается в Проводнике при выборе пункта «Отчеты» в меню иконки SysWatch. Содержит файлы с именами вида:
''system_[date]_[time].txt'' — отчёты о событиях безопасности. Самый поздний файл открывается при выборе пункта "Подробно" в главном окне SysWatch. Состоят они из записей вида
+
''system_[date]_[time].txt'' — отчеты о событиях безопасности. Самый поздний файл открывается при выборе пункта «Подробно» в главном окне SysWatch. Состоят они из записей вида
  
 
01.06.2016 13:15:22 Нарушение политики контроля приложений.
 
01.06.2016 13:15:22 Нарушение политики контроля приложений.
Строка 199: Строка 199:
 
===Записи в реестре===
 
===Записи в реестре===
 
====Общие ключи====
 
====Общие ключи====
*HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources —  папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Так же сюда прописываются значения:
+
*HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources —  папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Также сюда прописываются значения:
 
**DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
 
**DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
**AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки "Собрать профиль" в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
+
**AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки «Собрать профиль» в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
 
*HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта.
 
*HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта.
 
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей.
 
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей.
 
*HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2
 
*HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2
*HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: "Ошибка 1920 запуска службы sns под учетной записью system", и установка прервется.
+
*HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: «Ошибка 1920 запуска службы sns под учетной записью system», и установка прервется.
 
====Служба safensec====
 
====Служба safensec====
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключён.  
+
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключен.  
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме;
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме;
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети;
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети;
Строка 262: Строка 262:
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp
 
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp
 +
[[Category:SysWatch - Diagnostics{{#translation:}}]]

Текущая версия на 13:10, 1 июня 2020

Процессы

Службы

Главная служба обработки правил и событий — safensec.. Главный драйвер, следящий за целостностью файлов по контрольным суммам, — snscore;

Драйвер контроля COM- и LPT-портов — snscomlpt.

Служба работы с Windows Filtering Platform, присутствует в Windows 7 и старше — snswfp, она устанавливается только при запуске инсталлятора в Windows 7.

Ее аналог для Windows XP — snstdi. На одной системе может быть исключительно или он, или snswfp.

Прочие процессы

Антивирусный сканер — snsods.exe.

Графический интерфейс программы — snsmcon.exe.

Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe.

Модуль обновления — snsupd.exe.

Зависимости

Драйверы и службы

Драйвер snscore.sys зависит от драйвера FltMgr (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr), иногда случается, что эта служба отсутствует.

Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr).

Остальные драйверы не содержат зависимостей.

Обновление модулей зависит от настроек IE (например при флажке «работать автономно» в IE обновление не запустится, в логе будет сообщение «SW upd: Ошибка инициализации модуля»).


Служба safensec зависит от:

seclogon - служба Secondary Logon, обеспечивающая запуски процессов от другого пользователя (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon);

TermService - служба Terminal services (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService), которая предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах;

RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService;

RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от нее зависит RPCSS;

Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме).

Библиотеки

Зависмости службы safensec, библиотеки в C:\Windows\System32\:

Название библиотеки Описание
ADVAPI32.DLL Расширенная библиотека API Windows 32
CRYPT32.DLL 32-разрядный API криптографии
FLTLIB.DLL Библиотека фильтров, используемая FltMgr
GDI32.DLL Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами
IMAGEHLP.DLL Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата
IPHLPAPI.DLL API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения
KERNEL32.DLL Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов
MSASN1.DLL ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One
MSI.DLL Главная библиотека Windows Installer
MSVCRT.DLL Windows NT CRT DLL — библиотека C Runtime
NETAPI32.DLL Net Win32 API DLL
NTDLL.DLL Системная библиотека NT
OLE32.DLL Библиотека Object Linking and Embedding для Windows
OLEAUT32.DLL
PSAPI.DLL Библиотека Process Status API, позволяющая получать подробную информацию о процессах
RPCRT4.DLL Библиотека удаленного вызова процедур
SECUR32.DLL Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети
SETUPAPI.DLL Setup API, устаревшая реализация, предоставляющая функциональность инсталляции
SHELL32.DLL Общая библиотека оболочки Windows
SHLWAPI.DLL Библиотека небольших программ оболочки
USER32.DLL Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия
USERENV.DLL
VERSION.DLL Библиотека работы с версиями файлов
WININET.DLL Функционал работы с соединениями с интернетом для Win32
WINSTA.DLL Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение
WINTRUST.DLL Microsoft Trust Verification APIs
WLDAP32.DLL Win32 Lightweight Directory Access Protocol API DLL
WS2_32.DLL 32-разрядная библиотека Windows Socket 2.0
WS2HELP.DLL Windows Socket 2.0 Helper for Windows NT
WTSAPI32.DLL Windows Remote Desktop Session Host Server SDK APIs

Директории и файлы

Установочный каталог

По умолчанию SysWatch устанавливается в директорию C:\Program Files\SafenSoft\SysWatch (для 64-разрядных версий Windows — в Program Files (x86)\). Она содержит следующее.

Файлы:

  • runasex.exe — отвечает за запуск приложения под учетной записью V.I.P.O.
  • safensec.exe — исполняемый файл сервиса SysWatch.
  • setuphelper.exe — подсказки удаления/регистрации в момент установки/удаления продукта.
  • Snsdlg.dll – библиотека графического интерфейса.
  • snsmcon.exe — локальный графический интерфейс.
  • snsnotify.exe — отвечает за оповещения в системном лотке.
  • Snsps_x86.dll — библиотека сервиса safensec.
  • Snsps_x64.dll — она же, 64-разрядная версия.
  • snsupd.exe — отвечает за обновление баз и модулей программы.
  • wincont.exe — отвечает за алерты выскакивающие по центру экрана.
  • update_log.txt — лог MSIExec, возникает при обновлении SW.
  • validata.exe – отвечает за проверку подлинности диска (только для специальных дисков Starforce). В современных релизах отсутствует, есть в версии для Сбербанка.

Папки:

  • Backups\ — эта папка пуста, возможно, дублирует схожую в C:\ProgramData\, в эту папку сохраняются настройки клиента (2 файла: default.xmlc – настройки по умолчанию, configs.xmlc – текущие настройки).
  • Data\ — файл с базой данных настроек программы (storage.dbb/storage.dbs), в этом файле так же находятся настроенные политики, пароль от входа в программы и т.п.
  • Driver\ — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки.
  • EventsDB\ — база данных событий на клиенте (запуск блок. приложения и т.п.). Сюда скапливаются события, которые впоследствии отправляются на сервер.
  • Plugins\ — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы.
  • Resources\ — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно).

Каталог данных

В каталоге C:\Documents and Settings\All Users\Application Data\ (Windows XP) или C:\ProgramData\ (Windows 7 и новее) располагается каталог данных SysWatch — S.N.Safe&Software\Safe'n'Sec. В нем содержится следующее:

  • Backup\ — каталог с файлами configs.xmlc и default.xmlc. Первый — экспорт текущих настроек SysWatch, второй — настройки по умолчанию.
  • Common Logs\ — тут логи работы службы safensec.
  • Quarantine\ — здесь объекты, помещаемые на карантин при антивирусной проверке.
  • Reports\основной каталог отчетов, именно он открывается в Проводнике при выборе пункта «Отчеты» в меню иконки SysWatch. Содержит файлы с именами вида:

system_[date]_[time].txt — отчеты о событиях безопасности. Самый поздний файл открывается при выборе пункта «Подробно» в главном окне SysWatch. Состоят они из записей вида

01.06.2016 13:15:22 Нарушение политики контроля приложений.

Тип активности: Программа пытается прочесть контролируемый файл.
Пользователь: NT AUTHORITY\СИСТЕМА
Программа: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Файл: C:\WINDOWS\SYSTEM32\DRVINST.EXE
Решение: Запрещено

profile_[date]_[time].txt — отчеты о сборе профиля.

scan_[date]_[time].txt — отчеты об антивирусном сканировании.

update_[date]_[time].txt — отчеты об обновлении.

sw_notify_[date]_[time].txt — логи соединения с Service Center, этот вид журналирования включается отдельно.

  • snsnotify.xml — сюда помещается сообщение об инциденте, которое тут же отображается модулем snsnotify.exe.
  • threats.xml — перечень обнаруженных при проверке угроз.

Файлы драйверов

Располагаются они в C:\Windows\System32\drivers\.

  • snscore.sys — наш драйвер проверки хеш-сумм.
  • snscomlpt.sys — драйвер, контролирующий COM- и LPT-порты.
  • snstdi.sys — драйвер сетевой фильтрации(для политики контроля сети)для Windows XP.
  • snswfp.sys — аналог предыдущего для Windows 7 и старше.
  • snscore4.dat — база драйвера проверки хеш-сумм (содержит профиль системы). Данный файл имеет атрибуты системного и без их снятия не удаляется.
  • snscore.pi — перечень всех объектов в профиле. Служит для просмотра профиля через Service Center и удаления из него отдельных файлов. Присутствует в версии 4.0.48 и выше.
  • snscore.blk — слепок системы (1 уровень защиты). В последних версиях данного файла нет.
  • snscore.log — расширенный лог драйвера, это логирование включается отдельно.

Записи в реестре

Общие ключи

  • HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources — папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Также сюда прописываются значения:
    • DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
    • AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки «Собрать профиль» в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
  • HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей.
  • HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2
  • HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: «Ошибка 1920 запуска службы sns под учетной записью system», и установка прервется.

Служба safensec

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключен.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме;
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети;
  • Также к службе safensec относятся записи:

HKEY_CLASSES_ROOT\AppID\safensec.exe

HKEY_CLASSES_ROOT\Wow6432Node\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\safensec

Драйвер snscore

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsCore — основная ветка службы;
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSCORE
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSCORE
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSCORE
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsCore

Сервис контроля портов snscomlpt

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsComlpt
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsComlpt
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsComlpt
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E978-E325-11CE-BFC1-08002BE10318}, ключ UpperFilters.

Важно! при удалении SysWatch вручную значение этого ключа надо зачистить от упоминания SnsComLpt, иначе порты будут блокированы! Это мультистроковый параметр (тип REG_MULTI_SZ), он может содержать перечень драйверов фильтрации. Из этого списка нужно удалить SnsComLpt, а если в ключе только эта строка, нужно удалить весь ключ.

Служба сетевой фильтрации snstdi, Windows XP

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsTdi
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSTDI
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SnsTdi
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSTDI
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SnsTdi
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSTDI

Служба сетевой фильтрации snswfp, Windows 7 и новее

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSWFP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsWfp
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSWFP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsWfp
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp