Что вы относите к системным файлам и почему их не надо отслеживать?
Имел виду те которые часто изменяются, например в папке "Temp".
Это для ревизора!
НО, к антивирусной проверке это не относиться!
Антивирусный сторож должен отслеживать все попытки записи!
Если говорить о не системных файлах, то как вы предполагаете определять изменившиеся подозрительно? По каким критериям?
Пример 1 (для сканирования изменений):
Есть у меня программа c:\Program Files\ASM Editor\ASM_Ed.exe
в таблице она получила другую сумму MD5 и отметилась цветом, что файл изменен.
Я выбираю эту позицию и помечаю как подозрительно и цвет меняется на подозрительно.
А дальше принимаю действия как для продозрительного файла.
Вывод:
Критерий - это моя логика - я ведь не изменял этот файл, по этому для меня очевидно, что его кто-то изменил, без моего разрешения.
Пример 2 (для мониторинга изменений в реальном времени):
Программа c:\Documents and Settings\<user>\Local Settings\Temp\dreadnight_packedTDSS.exe
пытается изменить программу c:\Program Files\ASM Editor\ASM_Ed.exe
Варианты ответа:
1. Разрешить dreadnight_packedTDSS.exe всегда изменять ASM_Ed.exe
2. Разрешить dreadnight_packedTDSS.exe сейчас поменять ASM_Ed.exe
3. Блокировать dreadnight_packedTDSS.exe все попытки поменять ASM_Ed.exe
4. Блокировать dreadnight_packedTDSS.exe эту попытку поменять ASM_Ed.exe
(точка) копировать dreadnight_packedTDSS.exe в карантин
(точка) переместить dreadnight_packedTDSS.exe в карантин
(точка) не перемещать dreadnight_packedTDSS.exe в карантин