Windows文件完整性检查工具
    
   

一、检查你系统中文件的完整性

    想不想知道自己系统中的文件是否被人动过手脚了呢？那么我们需要一个文件完整性检查的工具，来帮助我们诊断系统。

    Windows下这类的工具较少，可能是因为需求的关系，业内这类比较成熟的工具非常少。RegSnap也有这个功能，但非常有限。DiskState也可以实现这个，但是用起来非常难用速度也很慢。一次无意中转论坛发觉这个Sentinel的工具，正好有这个功能，试用了一下，非常不错，迫不及待来介绍给大家。
    
    Sentinel 2是一个国外的的作品，全英文软件（虽然是英文，但易上手易于理解），而且还完全免费。

    下载方法：
     名    称：Sentinel 2
     大    小：1.6M
     所需系统：Windows 98/2000/2003/XP
     语    言：英语
     下载地址： http://www.runtimeware.com/Sentinel2.zip
     主要功能：一款免费的Windows文件完整性检查工具，通过CRC32，MD4，MD5等算法来对比确定文件的状态保存系统文件的状态，从而可以发现文件的异常变动。

    二、相关知识：

    对一个Windows管理员来说，主机系统的安全是一个重要的课题也是一个挑战。一向来Windows系统漏洞比较多，相对也容易被入侵。平常的做法是安装最新的补丁（虽然M$的补丁有时会引起新的漏洞），安装防火墙等手段努力使自己的系统变得强壮。但是操作系统的漏洞总是隔三差五地出来，从这个角度上可以很绝对的说，互联网上没有安全的主机，包括UNIX系统。
     对入侵者而言，利用漏洞进入系统往往只是第一步，如果想得到更多的，如超级用户的密码，数据库的口令等，往往需要下点功夫，最便捷也是最有效的就是改动或特洛伊化受侵害的主机上的文件，如放置自己的后台程序，替代某些关键文件，安装后台进程，伪装成系统文件等。比如经常我们会看到c:\winnt\目录下有一个rundll32.exe，或者有一个svch0st.exe等。
    从所周知的，一个操作系统的正常运行要靠系统程序的正常执行，而程序的运行又与其可执行文件休戚相关。所以，维护系统完整性是确保系统安全的一项基本工作。这里的系统完整性是指系统中可执行文件的完整性，也就是说系统中的程序文件没被非法修改。 如果能做到这一点，基本可以杜绝病毒或者木马的入侵，安全性也能得到保证。同样的一个道理，流氓软件就更不在话下了。
    在Windows下发现流氓软件或者木马一般是通过进程管理软件，或者cport等工具来发现异常的进程或者不明目标的非法的TCP连接，或者查看启动组里面未知的自启动项，然后来判断这个文件或者进程的合法性。但随着技术的发展，目前的木马技术也是日新月异。一些常用手段比如隐藏进程，隐藏文件，重用端口等已经非常普及。早在2003年就出现的黑客之门是其中的代表之一，它如果安装到系统中，已经可以做到没有独立文件，没有端口，没有启动项，没有进程，没有加载模块（DLL），简单就无从下手查杀。
    如果机器被入侵但是没能发现这些改变的话，那时真就是“人为刀俎，我为鱼肉”,成为黑客手里控制的肉鸡。为了改变这种被动的局面，需要一种文件完整性检查工具，使得当系统文件被恶意修改后能及时发现，从而为进一步处理创造条件。 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点