SysWatch components — различия между версиями
EElagina (обсуждение | вклад) (Новая страница: «Category:SysWatch - Диагностика ===Процессы=== ====Службы==== Главная служба обработки правил и собы…») |
(нет различий)
|
Версия 19:22, 28 февраля 2020
Процессы
Службы
Главная служба обработки правил и событий — safensec.. Главный драйвер, следящий за целостностью файлов по контрольным суммам, — snscore;
Драйвер контроля COM- и LPT-портов — snscomlpt.
Служба работы с Windows Filtering Platform, присутствует в Windows 7 и старше — snswfp, она устанавливается только при запуске инсталлятора в Windows 7.
Ее аналог для Windows XP — snstdi. На одной системе может быть исключительно или он, или snswfp.
Прочие процессы
Антивирусный сканер — snsods.exe.
Графический интерфейс программы -- snsmcon.exe.
Иконка в системном лотке, также отвечающая за оповещения — snsnotify.exe.
Модуль обновления — snsupd.exe.
Зависимости
Драйверы и службы
Драйвер snscore.sys зависит от драйвера FltMgr (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr), иногда случается, что эта служба отсутствует.
Драйвер snstdi.sys зависит от драйвера TCP/IP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr).
Остальные драйвера не содержат зависимостей.
Обновление модулей зависит от настроек IE (например при флажке "работать автономно" в IE обновление не запустится, в логе будет сообщение "SW upd: Ошибка инициализации модуля").
Служба safensec зависит от:
seclogon - служба Secondary Logon, обеспечивающая запуски процессов от другого пользователя (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon);
TermService - служба Terminal services (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService), которая предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах;
RPCSS — служба удаленного вызова процедур (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs), от нее зависит TermService;
RpcEptMapper — обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcEptMapper), от неё зависит RPCSS;
Также необходима служба DCOM Server Process Launcher (должна работать в автоматическом режиме).
Библиотеки
Зависмости службы safensec, библиотеки в C:\Windows\System32\:
Название библиотеки | Описание |
ADVAPI32.DLL | Расширенная библиотека API Windows 32 |
CRYPT32.DLL | 32-разрядный API криптографии |
FLTLIB.DLL | Библиотека фильтров, используемая FltMgr |
GDI32.DLL | Функции интерфейса графических устройств (GDI) для вывода на устройство, например для управления рисованием и шрифтами. |
IMAGEHLP.DLL | Windows NT Image Helper, предоставляет функциональность доступа к исполняемым файлам PE-формата. |
IPHLPAPI.DLL | API вспомогательного приложения IP Helper, служит поиску и изменению настроек сетевого соединения. |
KERNEL32.DLL | Низкоуровневые функции операционной системы для управления памятью и обработки ресурсов. |
MSASN1.DLL | ASN.1 Runtime API — API системы типов данных Abstract Syntax Notation One. |
MSI.DLL | Главная библиотека Windows Installer. |
MSVCRT.DLL | Windows NT CRT DLL — библиотека C Runtime. |
NETAPI32.DLL | Net Win32 API DLL |
NTDLL.DLL | Системная библиотека NT |
OLE32.DLL | Библиотека Object Linking and Embedding для Windows. |
OLEAUT32.DLL | |
PSAPI.DLL | Библиотека Process Status API, позволяющая получать подробную информацию о процессах. |
RPCRT4.DLL | Библиотека удаленного вызова процедур. |
SECUR32.DLL | Security Support Provider Interface, библиотека-прослойка интерфейсов между приложениями и системами безопасности локального компьютера и сети. |
SETUPAPI.DLL | Setup API, устаревшая реализация, предоставляющая функционал инсталляции |
SHELL32.DLL | Общая библиотека оболочки Windows. |
SHLWAPI.DLL | Библиотека небольших программ оболочки. |
USER32.DLL | Управляющие функции Windows для обработки сообщений, таймеров, меню и взаимодействия. |
USERENV.DLL | |
VERSION.DLL | Библиотека работы с версиями файлов. |
WININET.DLL | Функционал работы с соединениями с Интернетом для Win32. |
WINSTA.DLL | Библиотека функционала Window Stations, абстракций, включающих в себя рабочий стол, буфер обмена и пр., к которым относится каждое запускаемое приложение. |
WINTRUST.DLL | Microsoft Trust Verification APIs. |
WLDAP32.DLL | Win32 Lightweight Directory Access Protocol API DLL. |
WS2_32.DLL | 32-разрядная библиотека Windows Socket 2.0. |
WS2HELP.DLL | Windows Socket 2.0 Helper for Windows NT |
WTSAPI32.DLL | Windows Remote Desktop Session Host Server SDK APIs |
Директории и файлы
Установочный каталог
По умолчанию SysWatch устанавливается в директорию C:\Program Files\SafenSoft\SysWatch (для 64-разрядных версий Windows — в Program Files (x86)\). Она содержит следующее.
Файлы:
- runasex.exe — отвечает за запуск приложения под учетной записью V.I.P.O.
- safensec.exe — исполняемый файл сервиса SysWatch.
- setuphelper.exe — подсказки удаления/регистрации в момент установки/удаления продукта.
- Snsdlg.dll – библиотека графического интерфейса.
- snsmcon.exe — локальный графический интерфейс.
- snsnotify.exe — отвечает за оповещения в системном лотке.
- Snsps_x86.dll — библиотека сервиса safensec.
- Snsps_x64.dll — она же, 64-разрядная версия.
- snsupd.exe — отвечает за обновление баз и модулей программы.
- wincont.exe — отвечает за алерты выскакивающие по центру экрана.
- update_log.txt — лог MSIExec, возникает при обновлении SW.
- validata.exe – отвечает за проверку подлинности диска (только для специальных дисков Starforce). В современных релизах отсутствует, есть в версии для Сбербанка.
Папки:
- Backups\ — эта папка пуста, возможно, дублирует схожую в C:\ProgramData\, в эту папку сохраняются настройки клиента (2 файла: default.xmlc – настройки по умолчанию, configs.xmlc – текущие настройки).
- Data\ — файл с базой данных настроек программы (storage.dbb / storage.dbs), в этом файле так же находятся настроенные *политики, пароль от входа в программы и т.п.
- Driver\ — в папке находятся файлы наших драйверов, в случае проблем с драйверами их можно установить заново из данной папки.
- EventsDB\ — база данных событий на клиенте (запуск блок. Приложения и т.п.) насколько я понял, сюда скапливаются события, *которые впоследствии отправляются на сервер.
- Plugins\ — внутри вложенная папка AV, где хранятся антивирусные базы, также там находится модуль «snsods.exe», который собирает профиль, запускает антивирусный плагин и отвечает за сканирование, подсчет хешей и антивирусные базы.
- Resources\ — в папке хранятся графические элементы интерфейса, строки текста из интерфейса, разделенные по языкам (подпапки 1033 и 1049, английский и русский соответственно).
Каталог данных
В каталоге C:\Documents and Settings\All Users\Application Data\ (Windows XP) или C:\ProgramData\ (Windows 7 и новее) располагается каталог данных SysWatch — S.N.Safe&Software\Safe'n'Sec. В нем содержится следующее:
- Backup\ — каталог с файлами configs.xmlc и default.xmlc. Первый — экспорт текущих настроек SysWatch, второй — настройки по умолчанию.
- Common Logs\ — тут логи работы службы safensec.
- Quarantine\ — здесь объекты, помещаемые на карантин при антивирусной проверке.
- Reports\ — основной каталог отчетов, именно он открывается в Проводнике при выборе пункта "Отчеты" в меню иконки SysWatch. Содержит файлы с именами вида:
system_[date]_[time].txt — отчёты о событиях безопасности. Самый поздний файл открывается при выборе пункта "Подробно" в главном окне SysWatch. Состоят они из записей вида
01.06.2016 13:15:22 Нарушение политики контроля приложений.
- Тип активности: Программа пытается прочесть контролируемый файл.
- Пользователь: NT AUTHORITY\СИСТЕМА
- Программа: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
- Файл: C:\WINDOWS\SYSTEM32\DRVINST.EXE
- Решение: Запрещено
profile_[date]_[time].txt — отчеты о сборе профиля.
scan_[date]_[time].txt — отчеты об антивирусном сканировании.
update_[date]_[time].txt — отчеты об обновлении.
sw_notify_[date]_[time].txt — логи соединения с Service Center, этот вид журналирования включается отдельно.
- snsnotify.xml — сюда помещается сообщение об инциденте, которое тут же отображается модулем snsnotify.exe.
- threats.xml — перечень обнаруженных при проверке угроз.
Файлы драйверов
Располагаются они в C:\Windows\System32\drivers\.
- snscore.sys — наш драйвер проверки хеш-сумм.
- snscomlpt.sys — драйвер, контролирующий COM- и LPT-порты.
- snstdi.sys — драйвер сетевой фильтрации(для политики контроля сети)для Windows XP.
- snswfp.sys — аналог предыдущего для Windows 7 и старше.
- snscore4.dat — база драйвера проверки хеш-сумм (содержит профиль системы). Данный файл имеет атрибуты системного и без их снятия не удаляется.
- snscore.pi — перечень всех объектов в профиле. Служит для просмотра профиля через Service Center и удаления из него отдельных файлов. Присутствует в версии 4.0.48 и выше.
- snscore.blk — слепок системы (1 уровень защиты). В последних версиях данного файла нет.
- snscore.log — расширенный лог драйвера, это логирование включается отдельно.
Записи в реестре
Общие ключи
- HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software\Safe’n’Sec Pro – здесь располагаются ключи: Language — язык программы, Resources — папка с ресурсами нашего ПО (граф. элементы, строки , кнопки и т.п.), SnSServer – путь к ресурсу для обновления нашего ПО. Так же сюда прописываются значения:
- DelayedInitialization — отсрочка запуска сервиса safensec в микросекундах. Нужна для того, чтобы успели инициализироваться службы банкомата. Актуально не для всех вендоров и моделей. Тип параметра — DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
- AutoSetupDelayMsec — отсрочка сбора профиля после нажатия кнопки "Собрать профиль" в микросекундах. По умолчанию параметр отсутствует, при необходимости его нужно создать, присвоив тип DWORD на 32-разрядных ОС, QWORD на 64-разрядных.
- HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft – здесь располагается лицензия продукта.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D8792A76-0D25-46EA-8927-36396649F229} — у этой и следующих двух записей guid различный в каждой установке, поэтому их надо искать по ключевому слову safensec, содержащемуся в одном из их полей.
- HKEY_CLASSES_ROOT\Installer\Features\0A539D3F7074CF24F9017F0BB4641FE2
- HKEY_CLASSES_ROOT\Installer\Products\0A539D3F7074CF24F9017F0BB4641FE2 — обязательно к удалению при ручной деинсталляции. Иначе при попытке новой установки возникнет сообщение: "Ошибка 1920 запуска службы sns под учетной записью system", и установка прервется.
Служба safensec
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec — основная ветка сервиса safensec, здесь отображается путь к файлу (imagepath), параметр запуска (start) – его значения: 0 — ядерный, 1 — системный, 2 — автозагрузка, 3 — после загрузки системы, 4 — отключён.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\safensec — для запуска нашей службы в безопасном режиме;
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\safensec — то же самое, но для безопасного режима с поддержкой сети;
- Также к службе safensec относятся записи:
HKEY_CLASSES_ROOT\AppID\safensec.exe
HKEY_CLASSES_ROOT\Wow6432Node\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\AppID\safensec.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\safensec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\safensec
Драйвер snscore
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsCore — основная ветка службы;
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSCORE
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSCORE
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSCORE
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\SnsCore
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsCore
Сервис контроля портов snscomlpt
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsComlpt
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsComlpt
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsComlpt
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E978-E325-11CE-BFC1-08002BE10318}, ключ UpperFilters.
Важно! при удалении SysWatch вручную значение этого ключа надо зачистить от упоминания SnsComLpt, иначе порты будут блокированы! Это мультистроковый параметр (тип REG_MULTI_SZ), он может содержать перечень драйверов фильтрации. Из этого списка нужно удалить SnsComLpt, а если в ключе только эта строка, нужно удалить весь ключ.
Служба сетевой фильтрации snstdi, Windows XP
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsTdi
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSTDI
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SnsTdi
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSTDI
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SnsTdi
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSTDI
Служба сетевой фильтрации snswfp, Windows 7 и новее
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNSWFP
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SnsWfp
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNSWFP
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SnsWfp
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNSWFP
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp