Логгер изменения аппаратной конфигурации

Обсуждение разнообразного программного обеспечения.
Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Логгер изменения аппаратной конфигурации

Сообщение Хакер » 26.11.2012 (Пн) 20:58

Мне нужна утилита, которая бы умела логгировать изменение конфигурации: появление новых устройств, исчезновение существующих, загрузка и выгрузка драйверов.

Нужно не для аудита безопасности (как мог бы кто-то подумать), а для того, чтобы понять причину глюка: с новым компьютером постоянно слышу звуковые оповещения об исчезновении устройств. Хотя после осмотра дерева в диспетчере устройств не могу найти недостающих привычных элементов. То ли система шалит, то ли зловреды устанавливают и удаляют свои драйверы.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

NashRus
Постоялец
Постоялец
 
Сообщения: 386
Зарегистрирован: 18.03.2006 (Сб) 1:16

Re: Логгер изменения аппаратной конфигурации

Сообщение NashRus » 26.11.2012 (Пн) 21:58

setupapi.log в виндовой директории.
там должно быть кое-что.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Логгер изменения аппаратной конфигурации

Сообщение Хакер » 26.11.2012 (Пн) 22:00

Спасибо. Но это не очень полезный лог.
Нет информации об изъятии устройств из конфигурации и нет временных отметок.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

ark
Бывалый
Бывалый
 
Сообщения: 216
Зарегистрирован: 18.07.2011 (Пн) 0:57

Re: Логгер изменения аппаратной конфигурации

Сообщение ark » 27.11.2012 (Вт) 2:18

Не знаю насчет KMDF, но если дрова Legacy или WDM - RegMon должен среагировать. Скорее всего вот этот ключик HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
А WM_DEVICECHANGE слабо отловить?

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Логгер изменения аппаратной конфигурации

Сообщение Хакер » 27.11.2012 (Вт) 2:20

Я не хочу писать ни строчки кода, иначе бы тема появилась в другом разделе (если бы у меня стоял технический вопрос при этом).
Я хочу готовую утилиту, ибо мне есть над чем другим поработать.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

ark
Бывалый
Бывалый
 
Сообщения: 216
Зарегистрирован: 18.07.2011 (Пн) 0:57

Re: Логгер изменения аппаратной конфигурации

Сообщение ark » 27.11.2012 (Вт) 5:10

Ну дык, RegMon - вполне себе утилита

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Логгер изменения аппаратной конфигурации

Сообщение Хакер » 27.11.2012 (Вт) 12:49

Нет, не вполне. В ней надо настраивать фильтр и она очень тяжеловесна для системы, если сидеть с ней круглые сутки. Она регистрирует обращения к реестру, а желаемая утилита должна контролировать систему на уровне менеджера конфигурации.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

ark
Бывалый
Бывалый
 
Сообщения: 216
Зарегистрирован: 18.07.2011 (Пн) 0:57

Re: Логгер изменения аппаратной конфигурации

Сообщение ark » 28.11.2012 (Ср) 4:44

Ну, посмотри вот это - сам не пробовал, но отзывы неплохие слышал. Это если есть подозрение на левые драйвера.
А вообще-то это может быть что угодно. У меня на лаптопе так брякала USB-шная мышь - провод слегка отходил, в Виндозных логах ничего не отображалось. Может, коннект где-нибудь слегка нарушен. Может, устройство засыпает и тут же просыпается.
Может, тут что нибудь похожее есть:
http://answers.microsoft.com/en-us/wind ... ba061f7f65
ЗЫ Где то попадалось, что так может вести себя DTools при отсутствии смонтированного образа.

ger_kar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1957
Зарегистрирован: 19.05.2011 (Чт) 19:23
Откуда: Кыргызстан, Иссык-Куль, г. Каракол

Re: Логгер изменения аппаратной конфигурации

Сообщение ger_kar » 29.11.2012 (Чт) 18:05

Ну и что подошла Windows Inspection Tool Set? Описание на английском я понял плохо, да и реклама это одно, а отзыв пользователя совсем другое, особенно если пользователь требовательный. Хотелось бы знать. А тоже возьму утилиту на вооружение, иногда бывает надо :)
Бороться и искать, найти и перепрятать

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Логгер изменения аппаратной конфигурации

Сообщение Хакер » 29.11.2012 (Чт) 18:07

Пока не пробовал.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

ger_kar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1957
Зарегистрирован: 19.05.2011 (Чт) 19:23
Откуда: Кыргызстан, Иссык-Куль, г. Каракол

Re: Логгер изменения аппаратной конфигурации

Сообщение ger_kar » 29.11.2012 (Чт) 18:22

Хакер писал(а):Пока не пробовал.
Если опробуешь эту утилиту, или может что-то другое, расскажи что получилось. Ну и если найдется ответ на вопрос что это был за глюк тоже расскажи :)
Бороться и искать, найти и перепрятать


Вернуться в Программное обеспечение

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

    TopList