vermin.eu.org

Na linux.com, w cyklu zajmujacym się narzędziami linii poleceń pojawił się mały artykulik, o narzędziu potrafiącym wylistować aktualnie otwarte pliki. Oczywiście nie ma w tym nic nadzwyczajnego, gdyby nie fakt, że w linuxie większość rzeczy to jakiś plikm a to znakowy, a to blokowy, a to katalog a to po prostu plik. W związku z tym wylistowanie otwartych plików, szczególnie w powiązaniu z id procesu lub użytkownikiem pozwala na audyt programu. Nic dziwnego więc, że jest ono często używane w wykrywaczach rootkitów (oczywiście w static buildach)
Po co jednak pisać o artykule, który każdy może przeczytać? Oczywiście po to, żeby dla odmiany pokazać, że w Windows też się da
Przede wszystkim warto zainteresować się darmowymi narzędziami z pakietu sysinternals, jak choćby FileMonitor, czy też Process Explorer. Pozwalają one na sprawdzenie co się aktualnie dzieje w systemie - jakie pliki są otwierane i przez kogo lub jaki proces, jakie procesy ładują jakie biblioteki i ile mają wątków. Dodatkowo w połączeniu z regmonem pozwala to na pełny audyt wybranego programu.
Jeśli chodzi o wspomnianą w artykule opcję przeglądu połączeń, to zawsze można wykorzystać narzędzie o takiej samej nazwie w większości systemów - czyli netstat, ale lepiej użyć do tego TcpView.
Jednak nie tylko narzędzia z serii SysInternals nadają się do przejrzenia systemu. Microsoft proponuje nam w tym ostatnim zakresie dwa narzędzia - port reporter oraz port query.
To oczywiście pewien wycinek windowsowych programów - a może ktoś zna jakieś inne, ciekawsze rozwiązania?