1. Команда «НАНО Секьюрити» и администрация SafeZone.cc проводят конкурс с ценными призами! Подробности можно узнать в этой теме
    Скрыть объявление

Антивирусная утилита AVZ. Назначение программы и решаемые ею задачи

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Sergei, 18 май 2009.

Метки:
  1. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Антивирусная утилита AVZ предназначена для обнаружения и удаления:

    • SpyWare и AdWare модулей - это основное назначение утилиты
    • Dialer (Trojan.Dialer)
    • Троянских программ
    • BackDoor модулей
    • Сетевых и почтовых червей
    • TrojanSpy, TrojanDownloader, TrojanDropper

    Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
    Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

    • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
    • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
    • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
    • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
    • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
    • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
    • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
    • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
    • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
    • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
    • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
    • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
    • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
    • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
    • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
    • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
    • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
    • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
    • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
    • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
    • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
    • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
    Источник
     
    Последнее редактирование модератором: 19 дек 2014
    Theriollaria, Vlad19, machito и 12 другим нравится это.
  2. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.923
    Симпатии:
    1.906
    Код (Text):
     Host="www.kaspersky.com", IP="77.74.178.16", Ping=Error (11010,0,0.0.0.0)
      Host="www.kaspersky.ru", IP="93.159.228.17", Ping=Error (11010,0,0.0.0.0)
    Может не совсем сюда, но зачем они пингуют так ?
    Это такой тест или ошибка ?
    Код (Text):
    C:\Windows\system32>ping www.kaspersky.ru

    Обмен пакетами с www-ru.geo.kaspersky.com [93.159.228.17] с 32 байтами данных:
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.

    Статистика Ping для 93.159.228.17:
        Пакетов: отправлено = 4, получено = 0, потеряно = 4
        (100% потерь)

    C:\Windows\system32>ping kaspersky.ru

    Обмен пакетами с kaspersky.ru [62.128.100.145] с 32 байтами данных:
    Ответ от 62.128.100.145: число байт=32 время=94мс TTL=54
    Ответ от 62.128.100.145: число байт=32 время=107мс TTL=54
    Ответ от 62.128.100.145: число байт=32 время=108мс TTL=54
    Ответ от 62.128.100.145: число байт=32 время=110мс TTL=54

    Статистика Ping для 62.128.100.145:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 94мсек, Максимальное = 110 мсек, Среднее = 104 мсек

    C:\Windows\system32>
     
    Последнее редактирование модератором: 16 дек 2014
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    вопрос не понятен. Если почему пинг не прошёл, то это наверно в ЛК вопрос либо к вашему провайдеру. Если зачем вообще это, то да это тест и дополнительная информация для хелпера.
    Для автологера главное, чтобы запустился браузер, а откроется там сайт или нет это не важно. Да и поиском гугла можно пользоваться и с этой странички, но во время создания лога надо просто сидеть и ждать окончания сбора логов, а не шастать по сайтам. А https в теории могут быть проблемы, в общем менять не вижу никакого смысла. Если что проще гугл заменить на другой сайт ;).
     
    Последнее редактирование: 16 дек 2014
  4. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.923
    Симпатии:
    1.906
    Золотые слова ! Но тогда о чём это скажет хелперу. Либо это отрицательный тест, то есть ответа быть не должно..

    У меня слетел AdBlockPlus после этого.. совпадение..
     
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    Например, с помощью этого видно подмену DNS, если пинг не прошёл то видно проблему (блокировку) с доступом к сайту и т.д.
    Phoenix, давайте снова в студенты записывайтесь ;).
     
    machito и Kиpилл нравится это.
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    Срезал часть постов сюда.
     
    Dragokas нравится это.
  7. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.488
    Симпатии:
    883
    По моей просьбе добавили 23 таблетку в AVZ.

     
    shestale, ScriptMakeR, Kиpилл и 3 другим нравится это.
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    Добавлю, что в 2015-03-01 12:25 был обновлён полиморфный AVZ
     
    shestale, ScriptMakeR и Dragokas нравится это.
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    срезал обсуждение о блокировке браузером в отдельную тему.
     
    ScriptMakeR нравится это.
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    Похоже новая фишка полиморфной версии AVZ выделение красным цветом даты недавно созданных и именных файлов.

    [​IMG]
     
    Dragokas, Kиpилл и shestale нравится это.
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    Хорошо, это не сложно - можно пробовать на полиморфе, он обновлен. В скрипт в любое место до начала создания архива с карантином вставить:
    SetupAVZ('QrPWD=infected');
    Например:
    Код (Pascal):
    begin
    // Очистка карантина
    ClearQuarantine;
    // Автокарантин
    ExecuteAutoQuarantine;
    // Создание архива с файлами, помещенными в карантин
    SetupAVZ('QrPWD=infected');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    За счет использования SetupAVZ получается полная совместимость скриптов с старыми версиями AVZ (они попросту проигнорируют данную настройку). Системы Кибера кстати принимают архивы с паролем infected наравне с паролем virus
    источник.
     
    Phoenix и Dragokas нравится это.
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    22-я таблетка в AVZ теперь ещё делает бэкап и удаляет параметр AutoConfigURL. Доработка доступна с обновлением баз в обычном AVZ.
     
    Dragokas, orderman, shestale и ещё 1-му нравится это.
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    полиморф обновлен. Команды:
    function ZIP_ExtractArchive(AArchiveFile, ADestDir, AMask : string; APWD : string = ''); - извлекает их архива с именем AArchiveFile файлы, соответствующие маске AMask в каталог ADestDir. Структура каталогов в архиве и ADestDir будут идентичны. Если архив с паролем, то необходимо задать необязательный 4-й параметр APWD и указать в нем пароль (если это не сделать, то защищенные паролем файлы не извлекутся или извлекутся с нулевым размером). Пример:
    Код (Pascal):
    begin
    ZIP_ExtractArchive('d:\test.zip', 'e:\распаковка ZIP', '*.*');
    end.
    Создание архива ведется функцией function ZIP_CreateArchive(AArchiveFile : string; AFileList : TStrings; APWD : string = ''), где
    AArchiveFile - полное имя создаваемого архива
    AFileList - список добавляемых файлов
    APWD - необязательный параметр, пароль архива (если не задан - то создается архив без пароля).

    Список файлов содержит или полные имена файлов (они добавляются в корень архива), или <полное имя файла на диске>;<имя файла в архиве> - в этом случае можно добавлять файлы в различные каталоги в архиве и не обязательно под именами как на диске. Пример:
    Код (Pascal):
    var
    FileList : TStrings;
    begin
    FileList := TStringList.Create;
    FileList.Add('d:\msdia80.dll');
    FileList.Add('d:\msdia80.dll;test.dll');
    FileList.Add('d:\avz_sysinfo.htm;LOG\avz_sysinfo.htm');
    FileList.Add('d:\avz_sysinfo.xml;LOG\avz_sysinfo.xml');
    ZIP_CreateArchive('d:\test.zip', FileList, 'infected');
    end.
     
    orderman, Dragokas, Alex1983 и 2 другим нравится это.
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    В полиморфе добавлена функция IsAdmin для проверки запущен для AVZ с правами администратора
    IsAdmin:boolean, пример вызова:
    Код (Pascal):
    begin
    if IsAdmin then
      AddToLog('У пользователя есть права администратора')
    else
      AddToLog('У пользователя НЕТ прав администратора');
    end.
    Следует только понимать, что эта функция вернет True при условии, что пользователь входит в группу "Администраторы" данного ПК, но при этом права могут быть подрезаны UAC, блокированы чем-то и т.п. - функция это не может учесть
     
    Kиpилл и Dragokas нравится это.
  16. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.488
    Симпатии:
    883
    Работу 2 таблетки поправили немного.

     
    Kиpилл и shestale нравится это.
  17. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
    Здраствуйте. У меня возник вопрос.
    Чем отличаются описания?
    и
    у меня шарики за ролики заехали в понимании ключевых особенностей различия в этих различных функций.
    Разжуйте пожалуйста, я зубы поломал пока грыз этот гранит науки
     
  18. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Да уж запутал Олег пользователей. :Biggrin:
    Карантин и папка Infected
    ...и далее http://z-oleg.com/secur/avz_doc/index.html?t_infected.htm
     
    kmscom нравится это.
  19. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.488
    Симпатии:
    883
    04.09.2015 Вышла новая версия антивирусной утилиты AVZ - 4.45. Архив с утилитой содержит базы от 4.02.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 394 микропрограммы эвристики, 9 микропрограмм ИПУ, 339 микропрограммы поиска и устранения проблем, 759074 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований.

    Основные модификации:

    [++] Расширена диагностика сети
    [++] В HTML протоколе удалено форматирование имен файлов в виде ссылок, отображаемые ранее в всплывающем хинте сведения о файле статически помещены в отчете. Изменение сделано для всех визардов
    [++] Модернизированы визарды чистки системы, поиска и устранения проблем (добавлены новые операции, устранен ряд ошибок)
    [++] Скрипт-язык - поддержка работы с архивами из скриптов, функции ZIP_CreateArchive и ZIP_ExtractArchive
    [++] Скрипт-язык - поддержка проверки прав пользователя, функции IsAdmin и IsElevated
    [++] Скрипт-язык: финкция GetLastExitCode для определения кода возврата запущенного процесса
    [++] Скрипт-язык: функция GetComputerDomain для определения домена ПК, GetHostByName и Ping для диагностики сети
    [++] Скрипт-язык: процедуры AddQuarantineFilter и ClearQuarantineFilter для фильтрации помещаемых в карантин файлов
    [++] Скрипт-язык: функция GetAVZDBDate для получения даты и времени сборки базы AVZ в целом, или ее отдельных компонент
    [++] Доработан парсер имен файлов
    [+] Добавлена процедура чистки 23 - удаление политик Google, создаваемых в реестре вредоносными программами
    [+] Добавлены сведения по файлам в планировщике заданий
    [+] Добавлен параметр QrPWD, позволяющий задать нестандартный пароль, используемый при архивации карантина
    [+] При выявлении синтаксической ошибке в скрипте курсор перемещается на место ошибки
    [--] Исправлена ошибка, приводящая в ряде случаев к неправильной работы переменной %allusersprofile% в скрипте
    [--] Устранен сбой формирования протокола исследования системы при анализе файла с поврежденной структурой VersionInfo
    [--] Исправлен ряд ошибок в работе визардов поиска и устранения проблем
    [--] Исправлена ошибка работы функции удаления ключей реестра (не учитывалось состояния редиректора)
    [--] Исправлена ошибка с обнаружением предположительно скрытых процессов на серверных и x64 системах
    [--] Исправлена ошибка, приводящая к обнаружению предположительно скрытых процессов
    [-] Исправлена ошибка с экранированием кавычек в XML логе (в некоторых случаях экранировались не все двойные кавычки)
    [-] Исправлена ошибка в менеджере протоколов - не работал парсер имен файлов
     
    Theriollaria, E100, ScriptMakeR и 5 другим нравится это.
  20. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.581
    Симпатии:
    13.993
    Обновил и в ресурсах
     
    Kиpилл нравится это.
  21. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    kmscom, на самом деле всё довольно просто :). В справке написано с ошибкой , Олегу Зайцеву я давно об этом писал. При релизе новой версии он поправил документацию, но опять немного напутал - в справке по прежнему написано с ошибкой. Как должно быть читайте в моём посте по ссылке.
     

Поделиться этой страницей