Jump to content

Recommended Posts

В книге уважаемого Олега Зайцева "Rootkits,Spyware/Adware,Keyloggers & Backdoors-обнаружение и защита",поступившей в продажу в конце 2006 -начале 2007года имеется описание утилиты от Sysinternals под названием TDIMon. Также сказано о том,что утилита схожа по принципу работы с утилитой RegMon,но "обладает несколькими достоинствами:

в протоколе сетевая активность привязана к конкретным процессам,что существенно упрощает анализ.

TDIMon не является сниффером и регистрирует только обмен запущенных приложений с сетью.Следовательно,применение этой утилиты в корпоративной среде не вызовет нареканий со стороны службы информационной безопасности."

 

В журнале CHIP за июнь 2007 года,в статье "Больше никаких проблем с компьютером",приводится список 50 лучших утилит от Microsoft,

которая теперь владеет утилитами Sysinternals. К сожалению,в списке отсутствует утилита TDIMon.

Может, кто скажет,что стало с этой утилитой и какова ее судьба...?

Share this post


Link to post
К сожалению,в списке отсутствует утилита TDIMon.

Может, кто скажет,что стало с этой утилитой и какова ее судьба...?

К сожалению убрали. Она уже больше года недоступна. Я - к счастью - предусмотрел такой вариант уже давно. Вот вам эта очень ценная вещь:

TdiMonNt.zip

 

Paul

Share this post


Link to post
Чем-же она очень ценная,уважаемый Пауль.

Именно для выявления сетевых проблем. Утилита занимается тем, что мониторит TCP и UDP активность приложений на локальной машине. Она работает на уровне Transport Driver Interface (TDI) откуда TDImon и получила своё имя. Отчёт, который она даёт - ОЧЕНЬ подробен. Надо сказать, что она не предназначена для новичков...

 

Paul

Edited by p2u

Share this post


Link to post

Большое спасибо,уважаемый Paul! Предвидение-ценный дар. Еще раз спасибо! :-)

Share this post


Link to post
А эта тузла уступает сабжу?

Нельзя их даже сравнивать. TCPView показывает состояние портов (неподвижно). TDIMon показывает подоброности самого трафика 'вживую' так сказать.

 

Paul

Edited by p2u

Share this post


Link to post
Нельзя их даже сравнивать. TCPView показывает состояние портов (неподвижно). TDIMon показывает подоброности самого трафика 'вживую' так сказать.

 

Paul

Уважаемый Пауль , а с чего Вы решили что утилиту нельзя ниоткуда скачать? Пожалуйста-http://technet.microsoft.com/ru-ru/sysinternais/bb897437(en-us).aspx

Share this post


Link to post
Уважаемый Пауль , а с чего Вы решили что утилиту нельзя ниоткуда скачать? Пожалуйста-http://technet.microsoft.com/ru-ru/sysinternais/bb897437(en-us).aspx

Вы про TCPView, а я про TDIMon. ;)

Кстати, у вас ссылка неправильная - должно быть systinternals, а не sysinternais.

 

Paul

Share this post


Link to post

 

Да , верно , не на ту клавишу нажал .Посмотрел обе Утилиты и больше понравилась TCPView.И где Уважаемый Пауль ,Вы собираетесь применять TDIMon, и знаете ли почему Microsoft больше не выкладывает эту программу, сырую на мой взгляд.

Share this post


Link to post
И где Уважаемый Пауль ,Вы собираетесь применять TDIMon, и знаете ли почему Microsoft больше не выкладывает эту программу, сырую на мой взгляд.

Я у себя регулярно использую, и ещё у других для обнаружения приложений, ведущих скрытный обмен с сетью на заражённых компах, которые так просто не лечатся. Как вы наверно заметили, даже explorer.exe фигурирует в отчётах...

P.S.: И я не один - великий Олег Зайцев, автор AVZ, тоже рекомендует программу по такой же причине:

http://www.computerpress.ru/article.aspx?i...481&iid=687

Почему Microsoft её сняла с учёта? Хэхэ... Вы, должно быть, шутите... ;)

 

Paul

Edited by p2u

Share this post


Link to post

Еще раз посмотрел на обе тулзы.Больше нравится все таки TCPView.Мониторить процессы можно разными прогами.Тем более Марк Русинович планировал на базе TDIMon создать TCPView Pro, но... не сложилось,уважаемый Пауль.

 

Share this post


Link to post
Еще раз посмотрел на обе тулзы. Больше нравится все таки TCPView. Мониторить процессы можно разными прогами.

Мне TCPView тоже очень нравится. Каждый день использую.

Если знаете ещё программу (кроме TDIMon), которая не требует установки и с помощью которой можно посмотреть скрытный обмен с сетью, буду рад узнать.

Тем более Марк Русинович планировал на базе TDIMon создать TCPView Pro, но... не сложилось

Если уже создаст, то тогда эта программа будет платной. В этом у меня сомнения нет. А платить за 'безопасность' или 'конфиденциальность данных' не хочу категорически.

 

Paul

Share this post


Link to post

Можно потестить программу WNetStat , выложить архив не получается.Сайт www.torry.net, если еще существует.

 

Share this post


Link to post
Можно потестить программу WNetStat , выложить архив не получается.Сайт www.torry.net, если еще существует.

Интересная программка, спасибо! Хорошо, что установки не требуется. Вот ссылка на эту и другие программы автора Vadim Crits:

http://www.torry.net/authorsmore.php?id=1753

Показывает следующие отчёты:

NIC Table

ARP Table

IP Address Table

Route Table

Connections Table

Interface Statistics

IP Statistics

ICMP Statistics

TCP Statistics

UDP Statistics

 

P.S.: НЕ показывает, однако, дошли ли эти пакеты все или нет. Например у меня в отчёте 29 ICMP пакеты, но они и отображаются в логах Комодо - 'блокированные'... Теперь пойду копасться в unicast и non-unicast packets. Там кое-что не то кажется...

 

Paul

Edited by p2u

Share this post


Link to post

Эта программа из СД -сборника,приобрел по случаю.Более 300 программ по тематике -сети, их администрирование,мониторинг,тестирование

,удаленное управление,анализаторы протоколов и тому подобное.Если надо - могу скинуть архивы на Ваш e-mail, только укажите емейл,плиз.

 

Share this post


Link to post
Эта программа из СД -сборника,приобрел по случаю.Более 300 программ по тематике -сети, их администрирование,мониторинг,тестирование

,удаленное управление,анализаторы протоколов и тому подобное.Если надо - могу скинуть архивы на Ваш e-mail, только укажите емейл,плиз.

Буду очень признателен. Адрес у вас в личке лежит. Не реагируйте там - личка закрыта для всех.

 

Paul

Share this post


Link to post
Буду очень признателен. Адрес у вас в личке лежит. Не реагируйте там - личка закрыта для всех.

 

Paul

Понял.Начал отправлять,столкнулся с проблемой:файлы распознаются почтовыми фильтрами как вирусы.Например hidden_admin -как вредоносная программа.Буду пробовать дальше.Не бойтесь,не вирусы.

Share this post


Link to post
Понял.Начал отправлять,столкнулся с проблемой:файлы распознаются почтовыми фильтрами как вирусы.Например hidden_admin -как вредоносная программа.Буду пробовать дальше.Не бойтесь,не вирусы.

Я не боюсь. Пересылка может не получаться. Есть два почтовых сервера, которые оба проверяют. Возможно имеет смысл где-то на файлообменник поместить?

 

Paul

Share this post


Link to post

может помочь архивирование с паролем и шифрованием имен файлов, что есть в rar

Share this post


Link to post

Возможно.Буду пробовать поочередно почту,фтп,файлообменники и прочее.

 

Share this post


Link to post
Возможно.Буду пробовать поочередно почту,фтп,файлообменники и прочее.

Спасибо большое! Всё дошло - 20 файлов. Я - ваш должник. :)

 

Paul

Share this post


Link to post
<...> личка закрыта для всех.

 

Paul

Очень жаль, Паул. Хотел Вам написать в личку, но не могу. :( А на e-mail нельзя?

Share this post


Link to post
Спасибо большое! Всё дошло - 20 файлов. Я - ваш должник. :)

 

Paul

Пауль , это только начало.Может занять неделю, или больше.На ДСЛ скорость закачки небольшая.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.