Estoy haciendo pruebas de caja negra en un software que está instalado en mi máquina local. Quiero analizar y ver la lista de archivos y entradas de registro que el software crea / modifica / elimina. Básicamente analice un software para los archivos con los que trata el software. ¿Hay algún software disponible para hacer esto? Estoy usando la máquina de Windows.
Le sugiero que use Process Monitor de la suite sysinternals para hacer esto.
Recomiendo usar una herramienta FIM (Supervisión de integridad de archivos). Esto le permitirá tomar una instantánea de su sistema antes que realice cambios, y luego otra instantánea después de que realice cambios; luego podrá ver qué archivos y entradas de registro han cambiado. entre fotos instantáneas.
OSSEC es un sistema de código abierto que puede monitorear los archivos y objetos de registro para detectar cambios. Ciertamente, no es el más fácil de configurar y usar, pero es gratuito y funciona en Windows y Linux.
Ionx Verisys es un sistema de monitoreo de integridad de archivos comercial para Windows, Linux y dispositivos de red que tiene la ventaja de tener una GUI central para configuración, informes, etc., por lo que es mucho más fácil de configurar y operar que OSSEC. Este definitivamente monitorea tanto los archivos como las entradas de registro.
Es posible que deba usar una herramienta de monitoreo de integridad de archivos para ver los directorios que puede afectar el software. La FIM supervisará la creación, modificación y eliminación de carpetas / archivos en esas ubicaciones y proporcionará un informe. Sin embargo, puede decirle que se han realizado cambios pero no cuáles son los cambios específicos.
Podrías ejecutar 2 sistemas separados; uno ejecutando el software y ejecutando FIM y otro sin el software pero con FIM. De esa manera, tiene un sistema de control y puede ejecutar diferentes archivos que han cambiado para ver los cambios exactos realizados por el software ...
Sí, Monitoreo de integridad de archivos es la solución correcta. Puede realizar un seguimiento de todos los cambios, adiciones y eliminaciones de archivos, incluidos los detalles de la cuenta de usuario que realiza el cambio, el proceso utilizado y los informes de los atributos de los archivos que han cambiado.
Si los archivos están basados en texto, también puede ver los detalles de los cambios, pero para archivos binarios o imágenes, la mejor opción es utilizar el seguimiento basado en hash para detectar cambios en los archivos.
NNT Change Tracker hace un buen trabajo de todo esto y cubre otros elementos de configuración, como claves / valores de registro, servicios, procesos, software instalado, salidas de comandos, cambios de puerto de red, reglas de firewall, política de grupo: obtiene la imagen :-)
Lea otras preguntas en las etiquetas windows software desktop monitoring