Ну, я уже покопался в этом. Работает быстро, зато с ложными срабатываниями проблемы – выше, чем хотелось бы. Подсвечивает все подряд, от обычной Windows-обновки до вполне рабочей самодельной программы, так что времени уйдет куча на фильтрацию. Если будешь искать что-то серьезное, придется самому подкручивать настройки – стандартные не помогут. Следи за кривой оценки аномалий, там обычно всплывают настоящие нули. Удачи в охоте.