SysWatch components — различия между версиями

Материал из SafenSoft Wiki
Перейти к: навигация, поиск
(Новая страница: «Category:SysWatch - Диагностика ===Процессы=== ====Службы==== Главная служба обработки правил и собы…»)
(нет различий)

Версия 19:22, 28 февраля 2020

Процессы

Службы

Главная служба обработки правил и событий — safensec.. Главный драйвер, следящий за целостностью файлов по контрольным суммам, — snscore;

Драйвер контроля COM- и LPT-портов — snscomlpt.

Служба работы с Windows Filtering Platform, присутствует в Windows 7 и старше — snswfp, она устанавливается только при запуске инсталлятора в Windows 7.

Ее аналог для Windows XP — snstdi. На одной системе может быть исключительно или он, или snswfp.

Прочие процессы

Антивирусный сканер — snsods.exe.

Графический интерфейс программы -- snsmcon.exe.

Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe.

Модуль обновления — snsupd.exe.

Зависимости

Драйверы и службы

Драйвер snscore.sys зависит от драйвера FltMgr (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr), иногда случается, что эта служба отсутствует.

Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr).

Остальные драйвера не содержат зависимостей.

Обновление модулей зависит от настроек IE (например при флажке "работать автономно" в IE обновление не запустится, в логе будет сообщение "SW upd: Ошибка инициализации модуля").


Служба safensec зависит от:

seclogon - служба Secondary Logon, обеспечивающая запуски процессов от другого пользователя (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon);

TermService - служба Terminal services (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService), которая предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах;

RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService;

RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от неё зависит RPCSS;

Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме).

Библиотеки

Зависмости службы safensec, библиотеки в C:\Windows\System32\:

Название библиотеки Описание
ADVAPI32.DLL Расширенная библиотека API Windows 32
CRYPT32.DLL 32-разрядный API криптографии
FLTLIB.DLL Библиотека фильтров, используемая FltMgr
GDI32.DLL Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами.
IMAGEHLP.DLL Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата.
IPHLPAPI.DLL API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения.
KERNEL32.DLL Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов.
MSASN1.DLL ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One.
MSI.DLL Главная библиотека Windows Installer.
MSVCRT.DLL Windows NT CRT DLL — библиотека C Runtime.
NETAPI32.DLL Net Win32 API DLL
NTDLL.DLL Системная библиотека NT
OLE32.DLL Библиотека Object Linking and Embedding для Windows.
OLEAUT32.DLL
PSAPI.DLL Библиотека Process Status API, позволяющая получать подробную информацию о процессах.
RPCRT4.DLL Библиотека удаленного вызова процедур.
SECUR32.DLL Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети.
SETUPAPI.DLL Setup API, устаревшая реализация, предоставляющая функционал инсталляции
SHELL32.DLL Общая библиотека оболочки Windows.
SHLWAPI.DLL Библиотека небольших программ оболочки.
USER32.DLL Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия.
USERENV.DLL
VERSION.DLL Библиотека работы с версиями файлов.
WININET.DLL Функционал работы с соединениями с Интернетом для Win32.
WINSTA.DLL Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение.
WINTRUST.DLL Microsoft Trust Verification APIs.
WLDAP32.DLL Win32 Lightweight Directory Access Protocol API DLL.
WS2_32.DLL 32-разрядная библиотека Windows Socket 2.0.
WS2HELP.DLL Windows Socket 2.0 Helper for Windows NT
WTSAPI32.DLL Windows Remote Desktop Session Host Server SDK APIs

Директории и файлы

Установочный каталог

По умолчанию SysWatch устанавливается в директорию C:\Program Files\SafenSoft\SysWatch (для 64-разрядных версий Windows — в Program Files (x86)\). Она содержит следующее.

Файлы:

  • runasex.exe — отвечает за запуск приложения под учетной записью V.I.P.O.
  • safensec.exe — исполняемый файл сервиса SysWatch.
  • setuphelper.exe — подсказки удаления/регистрации в момент установки/удаления продукта.
  • Snsdlg.dll – библиотека графического интерфейса.
  • snsmcon.exe — локальный графический интерфейс.
  • snsnotify.exe — отвечает за оповещения в системном лотке.
  • Snsps_x86.dll — библиотека сервиса safensec.
  • Snsps_x64.dll — она же, 64-разрядная версия.
  • snsupd.exe — отвечает за обновление баз и модулей программы.
  • wincont.exe — отвечает за алерты выскакивающие по центру экрана.
  • update_log.txt — лог MSIExec, возникает при обновлении SW.
  • validata.exe – отвечает за проверку подлинности диска (только для специальных дисков Starforce). В современных релизах отсутствует, есть в версии для Сбербанка.

Папки:

  • Backups\ — эта папка пуста, возможно, дублирует схожую в C:\ProgramData\, в эту папку сохраняются настройки клиента (2 файла: default.xmlc – настройки по умолчанию, configs.xmlc – текущие настройки).
  • Data\ — файл с базой данных настроек программы (storage.dbb / storage.dbs), в этом файле так же находятся настроенные *политики, пароль от входа в программы и т.п.
  • Driver\ — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки.
  • EventsDB\ — база данных событий на клиенте (запуск блок. Приложения и т.п.) насколько я понял, сюда скапливаются события, *которые впоследствии отправляются на сервер.
  • Plugins\ — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы.
  • Resources\ — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно).

Каталог данных

В каталоге C:\Documents and Settings\All Users\Application Data\ (Windows XP) или C:\ProgramData\ (Windows 7 и новее) располагается каталог данных SysWatch — S.N.Safe&Software\Safe'n'Sec. В нем содержится следующее:

  • Backup\ — каталог с файлами configs.xmlc и default.xmlc. Первый — экспорт текущих настроек SysWatch, второй — настройки по умолчанию.
  • Common Logs\ — тут логи работы службы safensec.
  • Quarantine\ — здесь объекты, помещаемые на карантин при антивирусной проверке.
  • Reports\ — основной каталог отчетов, именно он открывается в Проводнике при выборе пункта "Отчеты" в меню иконки SysWatch. Содержит файлы с именами вида:

system_[date]_[time].txt — отчёты о событиях безопасности. Самый поздний файл открывается при выборе пункта "Подробно" в главном окне SysWatch. Состоят они из записей вида

01.06.2016 13:15:22 Нарушение политики контроля приложений.

Тип активности: Программа пытается прочесть контролируемый файл.
Пользователь: NT AUTHORITY\СИСТЕМА
Программа: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Файл: C:\WINDOWS\SYSTEM32\DRVINST.EXE
Решение: Запрещено

profile_[date]_[time].txt — отчеты о сборе профиля.

scan_[date]_[time].txt — отчеты об антивирусном сканировании.

update_[date]_[time].txt — отчеты об обновлении.

sw_notify_[date]_[time].txt — логи соединения с Service Center, этот вид журналирования включается отдельно.

  • snsnotify.xml — сюда помещается сообщение об инциденте, которое тут же отображается модулем snsnotify.exe.
  • threats.xml — перечень обнаруженных при проверке угроз.

Файлы драйверов

Располагаются они в C:\Windows\System32\drivers\.

  • snscore.sys — наш драйвер проверки хеш-сумм.
  • snscomlpt.sys — драйвер, контролирующий COM- и LPT-порты.
  • snstdi.sys — драйвер сетевой фильтрации(для политики контроля сети)для Windows XP.
  • snswfp.sys — аналог предыдущего для Windows 7 и старше.
  • snscore4.dat — база драйвера проверки хеш-сумм (содержит профиль системы). Данный файл имеет атрибуты системного и без их снятия не удаляется.
  • snscore.pi — перечень всех объектов в профиле. Служит для просмотра профиля через Service Center и удаления из него отдельных файлов. Присутствует в версии 4.0.48 и выше.
  • snscore.blk — слепок системы (1 уровень защиты). В последних версиях данного файла нет.
  • snscore.log — расширенный лог драйвера, это логирование включается отдельно.

Записи в реестре

Общие ключи

  • HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources — папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Так же сюда прописываются значения:
    • DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
    • AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки "Собрать профиль" в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
  • HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей.
  • HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2
  • HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: "Ошибка 1920 запуска службы sns под учетной записью system", и установка прервется.

Служба safensec

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключён.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме;
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети;
  • Также к службе safensec относятся записи:

HKEY_CLASSES_ROOT\AppID\safensec.exe

HKEY_CLASSES_ROOT\Wow6432Node\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\AppID\safensec.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\safensec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\safensec

Драйвер snscore

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsCore — основная ветка службы;
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSCORE
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSCORE
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSCORE
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\SnsCore
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsCore

Сервис контроля портов snscomlpt

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsComlpt
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsComlpt
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsComlpt
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E978-E325-11CE-BFC1-08002BE10318}, ключ UpperFilters.

Важно! при удалении SysWatch вручную значение этого ключа надо зачистить от упоминания SnsComLpt, иначе порты будут блокированы! Это мультистроковый параметр (тип REG_MULTI_SZ), он может содержать перечень драйверов фильтрации. Из этого списка нужно удалить SnsComLpt, а если в ключе только эта строка, нужно удалить весь ключ.

Служба сетевой фильтрации snstdi, Windows XP

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsTdi
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSTDI
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SnsTdi
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSTDI
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SnsTdi
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSTDI

Служба сетевой фильтрации snswfp, Windows 7 и новее

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSWFP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsWfp
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSWFP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsWfp
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp