NetGeoAudit / сетевой аудит для Windows

Live-мониторинг firewall, управление правилами с оценкой рисков, геоаудит системы. Одно окно для всего, что происходит с сетью на вашем ПК.

v1.0.0 · апрель 2026 Windows 10 / 11 · .NET 9 Локальные базы · без телеметрии 14 дней бесплатно
Скачать и начать trial Что умеет
Лицензия

Бессрочно, на одну машину

5000 ₽ один раз · без подписки
  • 14 дней полностью бесплатно — все функции без ограничений
  • Бессрочный ключ после покупки, обновления v1.x включены
  • Одна машина на ключ; для аудита парка — скидки от 5 шт.
  • Коммерческое использование разрешено
Скачать NetGeoAuditportable Скоро: автоматическая выдача ключей

Возможности / что под капотом

/ features

Net Log Live

Живые мониторы через Windows Event Log и WFP: заблокированные пакеты (5152/5155/5157), разрешённые соединения (5156), RDP-подключения, аутентификация (SMB, NTLM, Console). Обновление в реальном времени с привязкой к процессам и GeoIP.

Firewall Builder

Создание правил Windows Firewall по IP-диапазонам, файлам списков IP, выбору страны целиком. Safe Block — подтверждение перед активацией блокировки. Автоматическое разбиение больших диапазонов на чанки под лимиты COM API.

Control Rules

Полный аудит правил firewall из COM API. 5-уровневая шкала рисков, группировка по приложениям, 13 toggle-фильтров (Public/Private/Domain, Allow/Block, Enabled/Disabled, TCP/UDP). Интеграция с VirusTotal по SHA-256.

Win Geo Audit

50+ сканеров системы: локаль, реестр, WMI, сертификаты, Telephony API, Wi-Fi Country Code, SIM MCC, публичный IP. 18-уровневая цепочка определения страны и финальный вердикт: «Windows установлена в RU, пользователь сменил на DE».

Traceroute + GeoIP

Traceroute с геолокацией каждого хопа через локальные базы MaxMind GeoLite2 (City + ASN). IP Lookup прямо из главного окна — результат до 11 строк: Continent, Country, Subdivision, City, ASN, провайдер.

Normalizer

Нормализация сырых IP-файлов в формат Firewall Builder: парсинг CIDR, диапазонов и одиночных IP, объединение перекрытий, разбивка по лимиту строк. Test Limit — бинарный поиск максимального размера правила для текущей системы.

Скриншоты / как это выглядит

05 / views
Net Log Live — главное окно с живыми мониторами UtilitiesPage
Главное окно NetGeoAudit со списком live-мониторов: листинг портов, сетевые соединения, мониторинг firewall, RDP и аутентификации
Firewall Allow Monitor — разрешённые соединения с GeoIP в реальном времени event 5156
Окно мониторинга разрешённых соединений: таблица с направлением, протоколом, портами, IP, страной, городом, провайдером, процессом, именем правила WFP и DNS
Network Connections — все активные соединения с TCP-статусами netstat + GeoIP
Мониторинг всех активных сетевых соединений с состоянием (ESTAB, SYN_SENT, CLOSE_WAIT), локальным и удалённым IP, портами, интерфейсом, страной и DNS
Firewall Builder — создание правил по IP, стране или файлу HNetCfg.FwPolicy2
Интерфейс создания правил firewall: выбор диапазона IP, файла со списком или страны, название правила, действие Allow/Block/Safe Block, порты TCP и UDP
Control Rules — аудит правил firewall с оценкой рисков COM API + scoring
Три колонки: правила firewall, процессы с индикаторами риска, группы. Toggle-фильтры Public/Private/Domain, Allow/Block, Enabled/Disabled, Any App, Any IP, TCP/UDP

Технологии / как сделано

/ stack

NetGeoAudit написан на .NET 9 и C# с использованием WPF и библиотеки WPF-UI для Fluent Design. Архитектура — MVVM через CommunityToolkit.Mvvm, зависимости внедряются через Microsoft.Extensions.DependencyInjection.

Под капотом: Windows Filtering Platform (WFP) и Event Log Watcher для live-мониторинга, COM-интерфейс HNetCfg.FwPolicy2 для управления правилами firewall, Microsoft.Data.Sqlite для локального хранения, MaxMind GeoLite2 (City + ASN) для геолокации.

Принцип «локально и тихо»: все базы данных — офлайн, никаких внешних API для работы основных функций, никакой телеметрии. Публичный IP определяется только по запросу пользователя через ipify.org.

Вопросы / что спрашивают

07 / faq
Нужны ли права администратора?

Да, для большинства функций: WFP-мониторинг (Firewall Block/Allow), чтение Windows Event Log, управление правилами firewall, геоаудит реестра и WMI.

Без прав администратора работает только IP Lookup, Traceroute и часть Net Log Live. При запуске без прав на главном экране будет красная кнопка «Запустить как админ» — один клик, и приложение перезапустится с нужными правами.

Отправляет ли NetGeoAudit мои данные куда-либо?

Нет. Геолокация выполняется через локальные базы MaxMind GeoLite2 (City + ASN), установленные вместе с приложением. Правила firewall хранятся в SQLite на вашей машине. Никакой телеметрии, никаких облаков, никакой аналитики.

Единственное место, где приложение ходит в интернет — проверка публичного IP через api.ipify.org при запуске Win Geo Audit. Это можно отключить в настройках.

Чем NetGeoAudit отличается от Wireshark?

Wireshark — анализатор пакетов на уровне сетевого адаптера (libpcap/npcap). Он видит каждый пакет с заголовками всех протоколов. Это мощный инструмент для разбора протоколов.

NetGeoAudit работает через Windows Filtering Platform (WFP) и Event Log. Он показывает события уровня firewall: какое соединение разрешено, какое заблокировано, какая программа инициировала трафик, какое правило firewall сработало — всё с привязкой к GeoIP.

Грубо говоря: Wireshark — для разбора байтов в пакетах. NetGeoAudit — для ответа на вопросы «а кто вообще сейчас соединяется» и «почему это правило блокирует».

Как работает Win Geo Audit?

Сканируется 15 групп источников: Windows API (локаль, таймзона), реестр HKCU/HKLM, DNS/NTP/Wi-Fi, WMI, сертификаты, Telephony API, Windows Store регион, .NET CurrentCulture, SIM MCC (если есть модем), публичный IP через MaxMind.

Модуль анализа формирует вердикт по 6 секциям: реальное местоположение, настройки пользователя, системные следы установки, сертификаты, косвенные индикаторы (валюта, формат даты, меры длины, первый день недели), финальная оценка.

Результат — что-то вроде «Windows установлена в RU, пользователь сменил на DE» или «Все настройки совпадают, реальная страна — RU». Если обнаружен VPN — выводится предупреждение.

Можно ли использовать для коммерческого аудита?

Да. Лицензия 5000 ₽ — бессрочная на одну машину, включая коммерческое использование (аудит рабочих станций, подготовка отчётов для клиентов, внутренний мониторинг сети).

Для аудита нескольких ПК нужна отдельная лицензия на каждую машину. По запросу — скидки на партии: 5+ лицензий, 10+, корпоративные. Пишите на email.

Что произойдёт после окончания trial?

14 дней все функции работают без ограничений. После окончания trial приложение перестанет запускаться до активации ключом.

Никакие данные не удаляются: созданные правила firewall остаются в системе, экспортированные логи никуда не деваются, настройки сохраняются. Купили ключ — ввели — продолжили работу там же, где остановились.

Работает ли на Windows Server?

Частично. Мониторинг firewall и RDP — да, активно тестируется на Server 2019/2022. DnsCacheService автоматически переключается на polling ipconfig /displaydns на серверных версиях (ETW DNS-события там работают иначе).

Часть модулей геоаудита неприменима: SIM MCC (модема обычно нет), Wi-Fi Country (адаптера обычно нет). Остальные сканеры работают как на десктопе.

Server 2016 должен работать, но не тестируется регулярно. Server 2012 R2 не поддерживается — требуется .NET 9, который туда не ставится.