該軟件可以完全當作綠色軟件使用,只需要一個 Sentinel.exe 文件就可以了,不過同時會生成數(shù)據(jù)文件,因此最好將其放入一個文件夾。
由于該軟件是嚴格的監(jiān)視文件狀態(tài)的軟件,所以軟件作了自我保護。
該軟件使用 VB 編寫,很多地方需要補足字符串才能夠顯示,所以有不足之處請大家原諒并指出,同時也請指出軟件中的錯誤。
第一次運行會提示是第一次運行,提示是否要掃描保存狀態(tài),選確定,它會第一次掃描并且保存系統(tǒng)的狀態(tài),以后它就根據(jù)這個來對比。默認情況下只檢查%SYSTEMROOT%\system32目錄下的文件。你可以在它的選項中重選一下。建議對整個系統(tǒng)根目錄檢查(多數(shù)為C:\WINDOWS)。
當我們覺得系統(tǒng)有異常或者想做一個例行檢查的時候,只需要運行一下,然后選擇掃描(Scan),選擇要掃描的文件類型(DLL,DRV,SYS,OCX,EXE,COM,PIF,SCR),一般情況下就是全選,然后點立即掃描目錄(Scan Folder Now)。Sential接下來就會掃描所有的文件,并且跟以前的文件狀態(tài)進行比較,可以比較清楚看到它的掃描狀態(tài)
掃描時間取決于選擇目錄的多少,一般非常快,十幾秒而已(快比慢:)。出一個狀態(tài)顯示已經(jīng)掃描的文件,新文件數(shù),失敗的文件數(shù)(即更改的文件)等。接著點那個修復和更新失敗的文件按鈕
文件后面有一個*NEW*說明是新增加的,否則就是被更改的文件。你可以根據(jù)這個信息來進一步判斷,新增或者更改的文件是否是合法的,有效的。
除了默認的SYSTEM32目錄之外,還可以自定義多達20個其它目錄,這樣可以根據(jù)需要,來監(jiān)視相應(yīng)的目錄文件變化情況:
Sential除了文件完整性檢查之后,還有一個RegWatch(注冊表察看)的功能,可能顯示當前的啟動項
還有一個AppWatch(應(yīng)用程序察看),來查看當前的窗口句柄
當然這兩項功能都是比較簡單的,跟同類型的其它軟件比起來,這個不是它的特色。具體的做法可以自己摸索。另外Sentinel里面還有相關(guān)的選項,可以查看日志以及選擇文件的算法等。
文件完整性是我們來觀察系統(tǒng)發(fā)生哪些變化的最后一招。一向來流氓軟件或者木馬黑客都把自已藏身于SYSTEM32目錄下的數(shù)千個文件,比如象早期的飄雪,MY123等驅(qū)動,都可以通過這種方式找出來。
安全以及防范流氓軟件是一個綜合過程,不能指望一招可以解決所有問題。最難的是確定系統(tǒng)的變化情況,找出原因,這樣才可以為下一步堵住漏洞,找到木馬等打下基礎(chǔ)。從此任何流氓木馬也別想偷偷躲在你的系統(tǒng)當中。
聲明:因版權(quán)及廠商要求,188下載網(wǎng)提供的是Sentinel的官方下載包