程式比對是資訊安全中一個重要的功能,主要用來防範和識別檔案的未經授權更改,
保護與防止程式碼或設定檔遭到無心的更改編寫或是惡意的竄改,
或是成為駭客的惡意病毒的管道,而造成程式無法正確執行運作。
設定程式比對功能後,系統會定時對這些檔案進行完整的二進位比對,
檢查每一個位元和原始檔案是否完全一致。
程式比對主要是針對高風險的檔案先封存後再定時做百分百二進位比對。檔案類型包括:
➢ 二進位程式檔案(.exe、.dll)
➢ Shell Script程式檔案
➢ 系統設定檔
➢ 文字檔
➢ 密碼檔
➢ 二進位影像檔
監控程式比對的系統規格
➢ 偵測目的:百分百二進位比對指定的程式或檔案與封裝的原始檔是否遭受更改
➢ 監測目標:程式或檔案名稱
➢ 警報條件:比對不同
➢ 即時資訊:正常/警報發佈
➢ 資訊收集:訊息,警報發佈/解除時間點
➢ 緊急處置:通報,執行預定程式
➢ 警報臨界值:比對不同
