Estoy buscando un software que me permita monitorear (y preferiblemente también deshacer) los cambios realizados en el sistema operativo (archivos agregados o modificados, cambios en el registro de Windows, etc.).
Esto es principalmente para Windows 7, pero si existe una versión del software para Linux, sería una ventaja. Si el software se puede ejecutar como un servicio, sería otra ventaja.
Esto sería para un solo usuario (no para una corporación) y estoy de acuerdo con gastar algo de dinero en la licencia (por ejemplo, menos de $100 USD). No es necesario que sea de código abierto.
La razón de esto es que estoy interesado en hacer una investigación de malware.
¿Alguna recomendación para este tipo de software?
Regshot es realmente bueno para la comparación de registros. Ejecútelo antes de instalar un programa y luego después de instalarlo y luego compárelos. Puede ocupar una buena cantidad de espacio para cada "disparo" (más de 100 mb). Es muy detallado y puede ser súper útil.
http://sourceforge.net/projects/regshot/
Regshot es una utilidad de comparación de registro pequeña, gratuita y de código abierto que le permite tomar rápidamente una instantánea de su registro y luego compararla con una segunda, realizada después de realizar cambios en el sistema o instalar un nuevo producto de software. El informe de cambios se puede producir en formato de texto o HTML y contiene una lista de todas las modificaciones que se han producido entre las dos instantáneas. Además, también puede especificar carpetas (con subcarpetas) para escanear en busca de cambios.
Debe considerar Process Monitor (solo Windows). Proporciona:
...sistema de archivos en tiempo real, Registro y actividad de proceso/subproceso.
Si bien no proporciona una forma de "deshacer" los cambios, proporciona una gran cantidad de capacidades de monitoreo que incluyen:
• Más datos capturados para parámetros de entrada y salida de operación
• Los filtros no destructivos le permiten establecer filtros sin perder datos
• La captura de pilas de subprocesos para cada operación hace posible, en muchos casos, identificar la causa raíz de una operación
• Captura confiable de los detalles del proceso, incluida la ruta de la imagen, la línea de comandos, el usuario y la ID de la sesión
• Columnas móviles y configurables para cualquier propiedad de evento
• Los filtros se pueden configurar para cualquier campo de datos, incluidos los campos que no están configurados como columnas
• La arquitectura de registro avanzada escala a decenas de millones de eventos capturados y gigabytes de datos de registro
• La herramienta de árbol de procesos muestra la relación de todos los procesos a los que se hace referencia en un seguimiento
• El formato de registro nativo conserva todos los datos para cargarlos en una instancia diferente de Process Monitor
• Información sobre herramientas del proceso para ver fácilmente la información de la imagen del proceso
• La información sobre herramientas detallada permite un acceso conveniente a los datos formateados que no caben en la columna
• Búsqueda cancelable
• Registro del tiempo de arranque de todas las operaciones
Es gratis y proporciona un seguimiento inmediato frente a una comparación después del hecho.
Era un usuario feliz de InstallWatch Pro de Epsilon Squared (antiguo sitio web: www.epsilonsquared.com), pero parece que la empresa ha desaparecido y solo se puede obtener de otros sitios como Canadian Content .
Funciona en Windows 7 y debido a la naturaleza de los sistemas operativos, el mismo programa no se ejecuta en Linux (tal vez tendría que ser un programa diferente de la misma compañía).
Está disponible de forma gratuita:
InstallWatch 2.5 se le proporciona de forma gratuita
Todo lo que le pedimos es que registre su dirección de correo electrónico al final de la instalación si desea recibir información sobre futuras actualizaciones.
El registro por correo electrónico es opcional, simplemente desmarque la casilla al final de la instalación.
Puede monitorear el Registro y los archivos cambiados durante una instalación. Lo hace generando una instantánea antes y después de la instalación.
Desventajas:
No puedo sugerir programas con los que no tengo experiencia personal, pero puede buscar en Google "alternativas a InstallWatch" para encontrar versiones actualizadas con capacidades similares.
Arockia