SmartMon позволяет дополнительно защитить Windows от вредоносного ПО без нагрузки на процессор. В первую очередь SmartMon предназначен для обслуживания пользователей в фоновом режиме, после лёгкой настройки он не требует никаких действий и особенно будет полезен системным администраторам.

Программа работает только на Win7 и выше, поддержки WinXP на данный момент нет.

 

Механизмы работы

Принцип работы — мониторинг процессов и их анализ с помощью VirusTotal. При запуске SmartMon проверяет уже запущенные процессы, а затем включает мониторинг новых запускаемых программ в реальном времени. Для отслеживания запускаемых процессов используется мониторинг журналов безопасности, соответствующая настройка политики безопасности включается автоматически при работе программы. Это обеспечивает нулевую нагрузку на железо, а информация из журнала передаётся в дальнейшую обработку. Конечно, для корректной работы необходимо постоянное подключение к интернету, но ширина канала значения не имеет, запросы очень маленькие. Процессы не приостанавливаются перед запуском, что исключает влияние на скорость их запуска, а анализируются в процессе работы, но благодаря быстрому анализу известная вредоносная программа очень скоро нейтрализуется.

После запуска файла вычисляется его контрольная сумма и проверяется рейтинг на VirusTotal. Запрос происходит исключительно по хэшу, файлы никуда не отправляются, поэтому сработка будет только на уже известные вредоносные приложения, которые по какой-то причине пропустил ваш антивирус. Рейтинг анализируется динамически, в зависимости от общего количества срабатываний, а также показаний группы отдельных лидирующих антивирусов. Запрос происходит только для новых файлов, которые раньше не запускались на этом компьютере. После проверки они записываются в базу данных и в дальнейшем их обработка будет происходить ещё быстрее. Однако даже для новых файлов анализ занимает считанные секунды, не считая частых запусков новых файлов — поскольку VirusTotal ограничивает бесплатные запросы до 4 в минуту, большее количество файлов будут помещены в очередь и проверены чуть позже.

При обнаружении вредоносного файла его процесс принудительно закрывается, файл переименовывается в *.virus и по Telegram высылается оповещение с подробностями — имя и адрес компьютера, ссылка на VirusTotal с рейтингом, а также полный путь к вредоносному файлу. Дополнительно в журнал %WinDir%\SmartFix\SmartMon.log записывается время и путь, чтобы сохранить событие даже без токена бота. По желанию оповещение можно не настраивать, тогда работа будет выполняться без уведомлений, но в любом случае на компьютере пользователя ничего выскакивать и отвлекать не будет. Далее уже сам пользователь или его системный администратор могут проверить файл вручную и при необходимости внести в исключения.

 

Настройка конфигурации

Рассмотрим настройку и установку SmartMon детально. В первую очередь нужно зарегистрироваться на VirusTotal, чтобы получить свой уникальный API-ключ. После регистрации нажмите на своё имя в правом верхнем углу экрана и зайдите в раздел API key — здесь нужно скопировать 64-символьную строку, похожую на такую:

153ed30f4bd18d4cd9dd2fc181a4fccc15f7b1915170b89fb1d0b61a243773a7

С помощью этого ключа SmartMon сможет делать запросы на проверку. Важно — этот ключ необходимо использовать только на одном компьютере, иначе разрешённых запросов может не хватить. Для другого компьютера регистрируйте другой аккаунт.

Далее, если нужно получать оповещения в Telegram, необходимо зарегистрировать нового бота. Делается это запросом @BotFather команды /newbot и вводом имени бота, в результате вы получите свой уникальный токен, похожий на такой:

770530305:XhwODvT_ure0wzNgywAEfXgOXpuLBAorAG3

В отличии от прошлого ключа, этот можно указывать одинаковым на любом количестве компьютеров, таким образом можно получать оповещения от парка компьютеров в один чат администратора. Если оповещения вам не нужны, бота можно не создавать и прописать только API от VirusTotal.

Теперь нужно записать эти данные в новый текстовый файл с именем %WinDir%\SmartFix\SmartMon.ini в секцию Main, после чего его содержимое приобретёт такой вид:

[Main]
api=153ed30f4bd18d4cd9dd2fc181a4fccc15f7b1915170b89fb1d0b61a243773a7
bot=770530305:XhwODvT_ure0wzNgywAEfXgOXpuLBAorAG3

Перед установкой обязательно отправьте своему боту любое сообщение, так SmartMon поймёт, что сообщения нужно отправлять именно вам, а также пропишет параметр chat в ini-файл. Если вы этого не сделаете, оповещения приходить не будут, а параметр chat нужно будет прописывать вручную. Конечно, если вы знаете номер чата, то можете заранее указать его в файле настройки.

Примечание: если в Windows 7 не приходят оповещения, установите UpdatePack7R2 + IE11.

 

Установка и удаление

Теперь нужно запустить SmartFix и выбрать в меню дополнительных программ SmartMon. После нажатия кнопки «Старт» SmartMon будет установлен и запущен, а в диспетчере задач вы увидите два процесса SmartMon.exe — программу мониторинга и основную программу обработки событий. Кроме того эти процессы проверяют работу друг друга, поэтому при случайном завершении одного из них через диспетчер задач SmartMon автоматически перезапустится. Автозапуск и работа обеспечивается назначенным заданием в планировщике, для установки кроме как через SmartFix смотрите информацию ниже.

Для остановки работы SmartMon необходимо завершить задание в планировщике, а затем там же его выполнить снова — процессы SmartMon.exe исчезнут и задание SmartMon удалится.

Обновляется SmartMon автоматически, если при включении компьютера будет обнаружена новая версия, поэтому следить за выходом новых версий нет необходимости.

 

База данных

База данных хэшей хранится в файле %WinDir%\SmartFix\SmartMon.bin и привязана к API-ключу, указанному в ini-файле. Также в ней хранится информация о рейтинге файла и контрольные коды для защиты от изменений. Эта информация занимает очень мало места и используется исключительно для ускорения проверки запускаемых файлов на данной системе, поэтому переносить её на другой компьютер бессмысленно, а в случае удаления она просто будет пересоздана заново, наполняясь по мере появления новых проверяемых файлов.

 

Исключения

Чтобы добавить в базу исключения, нужно заранее создать текстовый файл Excludes.txt и поместить в него все нужные вам контрольные суммы SHA256 или абсолютные пути к нужным существующим файлам на этом же компьютере, по одному значению на строку, строк может быть сколько угодно. Затем переместите файл Excludes.txt в папку %WinDir%\SmartFix, когда SmartMon уже работает — при проверке следующего файла он будет обработан, а при завершении переименуется в Excludes+.txt, после чего его можно удалить — вся информация уже будет записана в базу.

 

Совет

Лучше держать UAC включённым. Когда пользователь запускает программу, которая требует прав администратора, система перехватывает её запуск и отображает окно подтверждения, однако информация об этом всё равно попадает в журнал и анализируется через SmartMon, поэтому дополнительные секунды увеличивают шанс опознать и переименовать вредоносную программу до того, как она вообще запустится фактически. Вместе с этим запуск программ без прав администратора и соответственно без окна UAC не так страшен, потому что они не могут значительно навредить системе и последствия могут быть исправлены простым восстановлением до контрольной точки. Это касается большинства случаев, из которых, конечно, есть исключения.

 

Админам

Вы можете автоматизировать установку SmartMon следующим способом. После записи конфигурации в файл %WinDir%\SmartFix\SmartMon.ini загрузите программу по ссылке в каталог %WinDir%\SmartFix. При желании для защиты конфигурации можно выставить права доступа на этот каталог только администраторам и системе. Запускать SmartMon необходимо от имени системы, рекомендуемый способ — назначенное задание, его вы можете экспортировать после ручной установки. Для остановки SmartMon и удаления одноимённого назначенного задания нужно просто запустить SmartMon.exe от имени системы в то время, когда он работает.

 

Важно

SmartMon не заменяет антивирус и резервное копирование! Он успешно пропустит новые угрозы, если они неизвестны другим антивирусам на VirusTotal, поэтому по возможности не ограничивайтесь им одним. Если в Win10 из коробки встроен неплохой антивирус, то в Win7 его нужно устанавливать отдельно и возможности MSE не дотягивают до аналога из Win10. С другой стороны, любой антивирус даёт ощутимую нагрузку при обработке массы файлов, поэтому только вам решать, какие комбинации защитных средств применять. Советую также использовать SRP (Software Restriction Policies) на клиентских системах, этот механизм также не оказывает влияния на скорость работы компьютера.

SmartMon — защита от вирусов с помощью VirusTotal

107 мыслей о “SmartMon — защита от вирусов с помощью VirusTotal

  • 15.06.2021 в 17:08
    Постоянная ссылка

    Здравствуйте, а есть возможность реализовать ротацию записей, То есть после, например, месяца запись о проверенном файле удаляется.

    Детект на вирустотал может меняться, файл может больше не запускаться на ПК — а запись остается…

    Ответ
  • 02.07.2021 в 08:55
    Постоянная ссылка

    Добрый День, я правда не по теме, но возможно вы мне подскажите, наверное вы знакомы с Сергеем Стрельцом sergeistrelec.ru , у вас какая ни будь информация что с ним, его почти уже пол года нету на сайте.. Спасибо. Если можно ответить на [email protected]

    Ответ
  • 12.08.2021 в 12:03
    Постоянная ссылка

    Здравия! Скачал SmartFix, запустил, но так и не нашел где и как запустить SmartMon. «Теперь нужно запустить SmartFix и выбрать в меню дополнительных программ SmartMon. » Где это меню дополнительных программ?
    Подскажите, пожалуйста.

    Ответ
      • 12.08.2021 в 13:38
        Постоянная ссылка

        Так и не понял в каком основном окне? У меня при запуске SmartFix:
        -Выполнить перезагрузку…
        -Выполнить полное восстановление…
        -Запустить.
        В меню запустить нет SmartMon

        Ответ
  • 05.09.2021 в 17:06
    Постоянная ссылка

    Здравствуйте. У меня такая ситуация: стандартный виндосовский фаерволл в режиме белого списка и периодически, при включении компьютера, всплывает запрос на подключение от C:\windows\temp\РАНДОМНАЯ ПАПКА\smartmon.exe. Иногда я в этот момент за компьютером и жму «Разрешить на 5 минут», иногда это предупреждение так и висит, пока я не подойду. В фаерволле нельзя добавлять пути к приложению со звёздочками. Если я в этот момент не за компом, долго ли программа пытается достучаться до нужного ей сервера или когда я прихожу, то моё разрешение уже ни на что не влияет? Чем чревато то, что программа не смогла подключиться к серверу?

    Ответ
    • 05.09.2021 в 17:50
      Постоянная ссылка

      Проверил на Windows 10 в режиме блокировки исходящих подключений — ничего не появляется. Вообще SmartMon.exe из временной папки не подключается к интернету, он только получает уведомления от журнала событий.

      Ответ
      • 05.09.2021 в 19:49
        Постоянная ссылка

        Забыл уточнить, что для управления фаерволлом использую дополнительную программу, которая и выдаёт окна с предупреждениями. Но можно проверить в «Журналы Windows-Безопасность» и там отфильтровать по коду 5157. Вот один из примеров заблокированного соединения (лишнее удалил, чтобы не оставлять комментарий на пол страницы):
        Платформа фильтрации IP-пакетов Windows заблокировала подключение.
        Имя приложения: windows\temp\nsc2c32.tmp\smartmon.exe
        Направление: Исходящие
        Адрес источника: 192.168.1.2
        Порт источника: 49197
        Адрес назначения: 151.139.128.14
        Порт назначения: 80
        Протокол: 6

        Ещё заметил, что этот процесс лезет на другой ip-адрес, чем тот, что находится в папке Windows\SmartFix.

        Ответ
        • 05.09.2021 в 20:04
          Постоянная ссылка

          У меня нет событий с кодом 5157, хотя перезагружал систему несколько раз. Адрес 151.139.128.14 принадлежит StackPath, который выступает CDN, скорее всего туда обращается операционная система (пример за проверкой сертификата, у них в клиентах написан Sectigo), потому что в самом файле нет обращений в интернет. По поводу дополнительной программы для управления фаерволлом — очевидно, что обращаться нужно к её автору.

          Ответ
          • 05.09.2021 в 20:40
            Постоянная ссылка

            Удалил программу и попробовал перезагрузить — результат тот же. Вот как выглядит это событие в журнале https://i.imgur.com/aA9d0Sj.jpg

            Вариант с сертификатом скорее всего верный. Тем более, что вы получили его как раз у Sectigo? Единственное, я раньше замечал, что процесс explorer.exe всегда лезет их проверять. Плюс этот экзешник во временной папке не такой как оригинальный: нет иконки, вкладка «Подробно» в свойствах пустая (заполнены только тип, размер и дата изменения) и нет вкладки «Цифровые подписи». То есть и проверять как бы нечего, но может это как-то связано с родительским процессом, который подписан сертификатом.

            Тем более, что вы говорите, что оно не должно никуда лезть. Извините за беспокойство и спасибо за эту и другие ваши программы, не раз выручали.

            Ответ
            • 05.09.2021 в 20:44
              Постоянная ссылка

              Не могли бы вы прислать тот файл, который у вас без иконки и подписи? Мой файл SmartMon.exe подписан даже во временной папке.

              Ответ
              • 05.09.2021 в 21:09
                Постоянная ссылка

                Ложная тревога, просто у учётной записи не хватало прав. Для проверки скопировал файл в другую папку, получил владельца и всё нормально стало: появилась иконка, сертификат и информация о файле. Оригинальный оставил как есть. На всякий случай закачал https://ufile.io/nliebain

                А нормально то, что у него версия 1.0.0.0 в отличие от основного, у которого 1.0.6.0? И размер меньше?

                Ответ
                • 05.09.2021 в 21:11
                  Постоянная ссылка

                  Нормально, это один из рабочих компонентов, называется так же, чтобы в процессах было понятно, что они относятся к одной программе.

                  Ответ
  • 21.10.2021 в 17:16
    Постоянная ссылка

    Здравствуйте. Переустановил систему с нуля Win 7 x64 SP1. Обновления ставить не стал, дабы не утяжелять систему. Поставил SmartMon. Программа работает, но уведомления в Телеграм не приходят и параметр Chat не прописывается. Вытащил файл SmartMon.ini из сохраненного бэкапа предыдущей системы, где параметр Chat прописан. Толку ноль. В чем может быть дело — в отсутствующих обновлениях или в Телеграм что-то поменяли? Если дело в обновлениях, то какой номер KB отвечает за отправку уведомлений? Спасибо.

    Ответ
  • 24.11.2021 в 10:57
    Постоянная ссылка

    Сделал всё по инструкции, но SmartMon не добавляет параметр chat в SmartMon.ini и не приходят уведомления.

    Ответ
    • 20.01.2022 в 22:34
      Постоянная ссылка

      Нужно отправлять сообщение в чат непосредственно перед запуском SmartMon.

      Ответ
  • 20.01.2022 в 22:05
    Постоянная ссылка

    Зарегистрировал новый аккаунт на virustotal. Я так понимаю, ограничение увеличили с 4 до 240 в минуту.

    Ответ
    • 20.01.2022 в 22:33
      Постоянная ссылка

      Похоже на то, однако ограничили 500 в день, против бывших 5760 (4*60*24). Но для SmartMon так даже лучше, ведь можно сразу при запуске проверить все процессы и новые программы без пауз, а дальше частота запуска новых файлов будет сильно ниже. Программа уже обновлена с учётом этих изменений.

      Ответ
        • 26.01.2022 в 00:38
          Постоянная ссылка

          Подтверждаю, на моём аккаунте тоже вернули старое ограничение 4 в минуту, а новое 500 в день так и осталось, видимо у них завёлся эффективный менеджер. Обновил программу.

          Ответ
  • 17.12.2022 в 23:03
    Постоянная ссылка

    Сделал все по инструкции.
    Отправил сообщение своему боту несколько раз.
    Затем установил SmartMon
    Но chat в ini-файл так и не создался.
    Удалил SmartMon и снова сделал все по инструкции. Но chat в ini-файл так и не создался.

    Ответ
    • 17.12.2022 в 23:26
      Постоянная ссылка

      Еще раз попробовал. Использовал теперь дополнительно Телеграмм для браузера. Отсылал сообщения несколько раз, так же когда было активно окно SmartFix так же отсылал боту сообщения и только после установки SmartMon боту пришло сообщение и chat в ini-файле все же прописался.

      Ответ
  • 16.01.2023 в 09:43
    Постоянная ссылка

    У меня вопрос, очень похожий на вопрос Антошки. Нужен ли SmartMon.exe из временной папки доступ в Интернет для правильной работы? Я установил SimpleWall от henrypp в режиме белого списка и разрешил %WindDir%\SmartFix\SmartMon.exe доступ в Интернет. Только с помощью этого правила он успешно переименовывает известные плохие файлы в .virus. Но после перезагрузки системы я получаю уведомление фаерволл от файла SmartMon.exe, расположенного во временной папке, с просьбой подключиться к Интернету. Какова именно цель этого? Нужен для обновлений SmartMon или можно просто заблокировать временной папке .exe доступ в интернет?

    Ответ
    • 16.01.2023 в 23:47
      Постоянная ссылка

      Уведомление связано с тем, что путь во временной папке меняется при каждом запуске, но этому SmartMon.exe не нужен доступ в интернет, он только фиксирует изменения в журнале, когда запускаются новые программы.

      Ответ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *