Jump to content

IFilter slutar att fungera


Mikael63

Recommended Posts

Jag använder ett sk. IFilter för att kunna söka inuti en del binära filer. Med ungefär en månads mellanrum slutar filtret att fungera. Går snabbt att installera på nytt men det är ett irritationsmoment och en falsk sökträff skulle vara förödande. Jag har haft en egen misstanke att det är något som tas bort av en för nitisk säkerhetslösning när det körs en djupare analys. Jag hade problem med detta även hos min förra arbetsgivare. Men vår IT ser inget om detta i sina loggar. Hur skulle man kunna hitta igen ett eventuellt borttagande i loggboken?

Det verkar endast vara en .dll som körs. Var kan man hitta vilka som körs/används? Skulle det gå att övervaka detta på något sätt?

 

Link to comment
Share on other sites

Posted (edited)

Tack!

Kollade lite snabbt och Process explorer har jag redan men den visar vad som händer i realtid och jag kan inte stirra på det programmet under en månads tid.

Nirsofts program verkar bygga på en jämförelse av två snapshots. Torde vara tusentals ändringar under en månad.

Såg det fanns lite tips att använda WMI. Jag har Automate som kan ha WMI som trigger men jag begriper inte vad jag ska ange där?

 image.png.cd840024ebbfb73856dae8f4f72ef568.png

Edited by Mikael63
Link to comment
Share on other sites

Har identifierat dessa

[HKEY_CLASSES_ROOT\CLSID\{DA17A3BA-C4C1-45FB-834C-4B6F12143FDD}\InprocServer32]
@="C:\\Program Files\\IFilterShop\\DwgFilter\\DwgFilter.dll"
"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA17A3BA-C4C1-45FB-834C-4B6F12143FDD}\InprocServer32]
@="C:\\Program Files\\IFilterShop\\DwgFilter\\DwgFilter.dll"
"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\IFilterShop\DwgFilter]
"MaxLoadSize"=dword:00000020
"Install_Dir"="C:\\Program Files\\IFilterShop\\DwgFilter"
"DebugMode"=dword:00000000

men jag vet inte hur jag ska kunna övervaka en förändring där?

Link to comment
Share on other sites

Jag är osäker på om det finns en "out-of-the-box" lösning för att bevaka ändringar på specifika nycklar.  Windows har inbyggt stöd för att bevaka när registret ändras, men när jag läser på om det så tror jag inte den berättar vem som gjort ändringen. RegNotifyChangeKeyValue

Link to comment
Share on other sites

Om jag kunde få en bevakning med ex. Automate eller Autohotkey så är det inte ett måste att veta vem som är boven.

Jag har med Nir Softs mjukvara kunnat lokalisera att filtret är aktivt endast när jag kör mitt sökverktyg. Nästa gång jag märker att jag inte får träffar som jag borde få ska jag kolla om filtret ändå har laddats och även kolla hur det ser ut för de där registernycklarna. Skulle det räcka med en import en sådan gång skulle jag kunna trigga det vid inloggning så att jag förhoppningsvis har full funktionalitet den dagen. (fast jag vet ju inte när det blir fel)

Link to comment
Share on other sites

Möjligtvis skulle ett enkelt plåster vara att schemalägga en import av de där registernycklarna. Om dom finns där, så händer antagligen inget, om dom saknas så skapas dom på nytt.

  • Like 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...