При обнаружении модификации защищаемых файлов будет выведено предупреждение, с указанием размера и даты создания обоих файлов. Теперь этот файл можно копировать, переименовать, удалить, открыть или просканировать антивирусной программой. Для поиска вирусов, не известных антивирусным программам, RegRun открывает и контролирует множество программ-«приманок», если обнаруживается изменение любого из этих файлов, RegRun сообщит о присутствии вируса. Для Windows такой приманкой является файл winbait.exe, автозапуск которой заносится в реестр и сравнивается с winbait.org, кроме того, предусмотрена возможность добавления своего подконтрольного файла. RegRun имеет базу данных приложений, которая содержит описание наиболее часто встречающихся программ, помогающую пользователю определить принадлежность к одной из четырех групп: необходимые, бесполезные, опасные и по вашему выбору. RegRun проверяет присутствие любых потенциально опасных программ и информирует пользователя о них, кроме того, он совместим со всеми известными антивирусами, и Антивирус Координатор может быстро проверить файлы, помещенные в автозагрузку. Дополнительно детектор подстановки сравнивает реальный путь к исполняемому файлу с загруженным. Например, если процесс с именем explorer.exe запускается не из папки c:windowssystem, а из другого места, то пользователь будет оповещен. Трассировщик системного реестра Registry Tracer, который имеется в версиях Professional или Gold, позволяет указать список ключей реестра, при попытке изменения которых RegRun выдаст предупреждающее сообщение.

Менеджер процессов позволяет не только просмотреть и при необходимости убить подозрительный процесс, а также выдает информацию по загруженным DLL и сетевой активности приложений. Утилита RunGuard, доступная в версии Gold, проверяет файлы перед выполнением. Контролируются файлы Microsoft Office (doc, dot, xls, xlt, ppt), html, Windows script (vbs, wsh, js, bat pif, cmd), hta и reg. При появлении подозрительных запросов они блокируются, и пользователь может проанализировать содержание файла, проверить его антивирусом, заблокировать или разрешить дальнейшее выполнение (см. рис. 6).

Рисунок 6. Предупреждающее сообщение RegRun Run Guard

Контроль целостности с Xintegrity

Немного другим путем пошли разработчики Xintegrity (http://www.xintegrity.com). Основная задача которой –  контроль целостности и обнаружение любого даже самого незначительного изменения файлов. Кроме контроля содержания файлов, утилита обнаруживает изменения в структуре каталога, включая альтернативные потоки данных (Alternate Data Streams), изменения параметров доступа к файлам, регистрационных данных и сервисах. Для этого первоначально создается база данных, содержащая информацию о контролируемых приложениях. Интересно, что разработчики учли возможность скрытого применения утилиты, и можно задать любое название, расширение и месторасположение баз. Поэтому, назвав файл как-то буднично, например, kursovik.rtf или song.mp3 и положив в группу подобных файлов, можно ее скрыть. При создании базы возможны три варианта: в нее заносятся только контрольные суммы файлов, делается резервная копия всех данных, и резервные копии дополнительно шифруются (256 бит AES). В последних двух случаях, кроме контроля, позволяют восстанавливать измененные файлы. В качестве контрольной суммы можно использовать несколько вариантов – от 128-разрядной хеш-функции MD5 до AES с 256-разрядной длиной ключа. При помощи Xintegrity можно проверять целостность файлов по требованию или запустить ее в фоновом режиме, тогда при обнаружении изменения пользователь будет сразу же уведомлен. Когда Xintegrity обнаружит такой измененный файл, пользователю будет выдана подробная информация о том, как и когда файл был изменен, и при определенных опциях создания базы будет предложено заменить его резервной копией. Например, на рис. 7 выведено различие контролируемого файла и этого же файла, зараженного вирусом Win32.HLLP.Underscore.36864.