Sentinel是一个国外的的作品，全英文软件（很容易懂的应该，汉化就不用了吧），完全免费。

1、软件小档案

　　简介：一款免费的Windows文件完整性检查工具，通过CRC32，MD4，MD5等算法来对比确定文件的状态保存系统文件的状态，从而可以发现文件的异常变动。

2、安装

　　安装过程简单得不需要说了。

3、使用

　　第一次运行会提示是第一次运行，提示是否要扫描保存状态，选确定，它会第一次扫描并且保存系统的状态，以后它就根据这个来对比。默认情况下只检查%SYSTEMROOT%\system32目录下的文件（如图1）。你可以在它的选项中重选一下。建议对整个系统根目录检查（多数为C:\WINDOWS）。

图1 选择扫描目录

　　当我们觉得系统有异常或者想做一个例行检查的时候，只需要运行一下，然后选择扫描（Scan），选择要扫描的文件类型（DLL,DRV,SYS,OCX,EXE,COM,PIF,SCR），一般情况下就是全选，然后点立即扫描目录（Scan Folder Now）。Sential接下来就会扫描所有的文件，并且跟以前的文件状态进行比较，可以比较清楚看到它的扫描状态（如图2）：

图2 扫描状态

　　扫描时间取决于选择目录的多少，一般非常快，十几秒而已。出一个状态显示已经扫描的文件，新文件数，失败的文件数（即更改的文件）等，如图3。接着点那个修复和更新失败的文件按钮，下一张图就显示所有变化的文件：

图3 扫描结果

　　文件后面有一个*NEW*说明是新增加的，否则就是被更改的文件。你可以根据这个信息来进一步判断，新增或者更改的文件是否是合法的，有效的。

图4 新增及被更改文件列表

　　除了默认的SYSTEM32目录之外，还可以自定义多达20个其它目录，如图5，这样可以根据需要，来监视相应的目录文件变化情况：

图5 自定义监视目录

　　Sential除了文件完整性检查之后，还有一个RegWatch（注册表察看）的功能，如图6，可能显示当前的启动项：

图6 当前启动项

　　还有一个AppWatch（应用程序察看），来查看当前的窗口句柄（如图7）：

图7 当前的窗口句柄

　　当然这两项功能都是比较简单的，跟同类型的其它软件比起来，这个不是它的特色。具体的做法可以自己摸索。另外Sentinel里面还有相关的选项，可以查看日志以及选择文件的算法等。

四、总结及其它

　　正如Sentinel软件封面上的那句话一样：Your Last Line of Defense Against Malicious Attacks（你防范恶意攻击的最后一道防线）

　　文件完整性是观察系统发生哪些变化的最后一招。一向来流氓软件或者木马黑客都把自已藏身于SYSTEM32目录下的数千个文件，比如象早期的飘雪，MY123等驱动，都可以通过这种方式找出来。

　　安全以及防范流氓软件是一个综合过程，不能指望一招可以解决所有问题。最难的是确定系统的变化情况，找出原因，这样才可以为下一步堵住漏洞，找到木马等打下基础。从此任何流氓木马也别想偷偷躲在你的系统当中。

　　本文针对一些比较有经验的管理员以及期望对自己的系统有一个完整性了解的用户，首发于 www.nslog.cn，如果你发现有同类较好的软件，欢迎与我交流nslog.cn#gmail.com

　　第一次运行会提示是第一次运行，提示是否要扫描保存状态，选确定，它会第一次扫描并且保存系统的状态，以后它就根据这个来对比。默认情况下只检查%SYSTEMROOT%\system32目录下的文件。你可以在它的选项中重选一下。建议对整个系统根目录检查（多数为C:\WINDOWS）。