Требуются ли для запуска ESET SysInspector права администратора?
Хотя для запуска ESET SysInspector права администратора не требуются, к некоторым из собираемым данных можно получить доступ только с правами администратора. Запуск с правами обычного пользователя или с ограниченными правами приведет к сбору меньшего объема данных о системе.
Создает ли ESET SysInspector файлы журнала?
ESET SysInspector может создать файл журнала с конфигурацией системы. Для сохранения такого журнала выберите в главном меню команду «Файл» > «Сохранить журнал». Журналы сохраняются в формате XML. По умолчанию файлы сохраняются в папке «%USERPROFILE%\Мои документы\» в файл с именем «SysInpsector-%COMPUTERNAME%-ГГММДД-ЧЧмм.XML». Перед сохранением можно изменить местоположение и название файла журнала.
Как просмотреть файл журнала ESET SysInspector?
Чтобы просмотреть журнал, созданный в ESET SysInspector, запустите программу и выберите в главном меню команду «Файл» > «Открыть журнал». Также можно перетащить файлы журнала в окно приложения ESET SysInspector. Если файлы журнала ESET SysInspector нужно просматривать часто, рекомендуется создать на рабочем столе ярлык для файла SYSINSPECTOR.EXE. Затем просматриваемые файлы можно просто перетаскивать на этот ярлык. По соображениям безопасности в ОС Windows Vista может быть запрещено перетаскивать элементы между окнами, имеющими разные параметры безопасности.
Доступна ли спецификация для формата файлов журнала? Существует ли пакет SDK?
В настоящее время ни спецификация файла журнала, ни пакет SDK недоступны, поскольку программа все еще находится на стадии разработки. После выхода конечной версии программы мы можем предоставить эти данные по просьбе клиента.
Как ESET SysInspector оценивает риск определенного объекта?
В большинстве случаев ESET SysInspector присваивает объектам (файлам, процессам, ключам в реестре и т. п.) уровни риска, используя наборы эвристических правил, которые изучают характеристики каждого объекта и затем оценивают угрозу их вредоносного действия. Основываясь на этой эвристике, объектам присваивается уровень риска от «1 — хорошо (зеленый)» до «9 – опасно (красный)». В окне навигации слева секции окрашиваются в разные цвета в зависимости от уровня риска объекта внутри них.
Означает ли уровень риска «6 — неизвестно (красный)», что объект является опасным?
Анализ ESET SysInspector не гарантирует, что объект является вредоносным — эта оценка должна выполняться специалистом по безопасности. ESET SysInspector разработан для того, чтобы специалист по безопасности имел возможность быстро оценить, какие объекты системы следует изучить и проверить их необычное поведение.
Зачем ESET SysInspector в ходе работы подключается к Интернету?
Как и многие приложения, ESET SysInspector подписан цифровым сертификатом, гарантирующим, что издателем программы является компания ESET и что программа не была изменена. Для проверки сертификата и подлинности издателя программы операционная система связывается с центром сертификации. Это нормальное поведение программ с цифровыми подписями в Microsoft Windows.
Что такое технология Anti-Stealth?
Технология Anti-Stealth обеспечивает эффективное обнаружение rootkit-программ.
Если система атакуется вредоносной программой, которая ведет себя как rootkit, пользователь подвергается риску повреждения, потери или воровства данных. Без специального инструмента для борьбы с rootkit-программами такие программы практически невозможно обнаружить.
Почему иногда в некоторых файлах, помеченных как «Подписано MS», имеются записи «Название компании», которые отличаются от указанной?
В ходе идентификации цифровой подписи исполняемого файла программа SysInspector сначала проверяет наличие в файле встроенной цифровой подписи. В этом случае идентификация содержимого файла происходит во время проверки. Если в файле отсутствует цифровая подпись, программа ESI начинает поиск соответствующего CAT-файла (в каталоге безопасности %systemroot%\system32\catroot), в котором содержатся сведения об обрабатываемом исполняемом файле. Если соответствующий CAT-файл найден, его цифровая подпись будет применена в ходе проверки исполняемого файла.
Поэтому иногда в некоторых файлах с пометкой «Подписано MS» имеется другая запись о названии компании.
Пример.
В системе Windows 2000 имеется приложение HyperTerminal, которое находится в папке C:\Program Files\Windows NT. Исполняемый файл п
риложения не имеет цифровой подписи, однако программа SysInspector помечает его в качестве подписанного корпорацией Microsoft. Причиной этому служит ссылка в файле C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat, которая указывает на файл C:\Program Files\Windows NT\hypertrm.exe (основной исполняемый файл приложения HyperTerminal), а файл sp4.cat имеет цифровую подпись Microsoft.