1. Команда «НАНО Секьюрити» и администрация SafeZone.cc проводят конкурс с ценными призами! Подробности можно узнать в этой теме
    Скрыть объявление

Антивирусная утилита AVZ. Назначение программы и решаемые ею задачи

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Sergei, 18 май 2009.

Метки:
  1. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Антивирусная утилита AVZ предназначена для обнаружения и удаления:

    • SpyWare и AdWare модулей - это основное назначение утилиты
    • Dialer (Trojan.Dialer)
    • Троянских программ
    • BackDoor модулей
    • Сетевых и почтовых червей
    • TrojanSpy, TrojanDownloader, TrojanDropper

    Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
    Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

    • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
    • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
    • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
    • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
    • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
    • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
    • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
    • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
    • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
    • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
    • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
    • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
    • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
    • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
    • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
    • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
    • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
    • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
    • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
    • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
    • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
    • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
    Источник
     
    Последнее редактирование модератором: 19 дек 2014
    Theriollaria, Vlad19, machito и 12 другим нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    shestale, это не ко мне, а к админам. Замена некоторых ссылок уже давно, надо бы знать. После перехода правь вручную в браузере.
     
  3. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.581
    Симпатии:
    13.993
    В нужную сторону. Ссылки на VI блокируются антиспамом в ответ на подобную блокировку в нашу сторону. Скажем так, "защита" от конкурентов. Остальное убрал.
     
    Последнее редактирование: 28 сен 2015
    fseto, ScriptMakeR, SNS-amigo и 2 другим нравится это.
  4. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
    по этой что ли?
    Код (Text):
    http://вирусинфо/showthread.php?t=155719&page=9&p=1264590&viewfull=1#post1264590
    403 Forbidden
     
  5. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.488
    Симпатии:
    883
    kmscom, здесь ссылки на VI обрезаются. Похожий запрет есть на VI, только там ссылки на SZ блокируются.
     
  6. lojcin
    Оффлайн

    lojcin Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Как добавить в утилите в исключения "Брандмауэр" (что-бы утилита не отключала его и не трогала)?
     
  7. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.581
    Симпатии:
    13.993
    Она и не должна трогать, только анализировать. Конкретизируйте, пожалуйста, задачу.
     
  8. lojcin
    Оффлайн

    lojcin Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Такая проблема и причём постоянно(с тех пор как установил Windows -10 Enterprise Evalution):
    как только при подозрении ОС "слабых" мест начинаю использовать в этой утилите "Мастер поиска и устранения проблем" на оси перестаёт работать брандмауэр и что я уже только не делал для того что-бы его после этого включить кроме того как откатится на заранее созданный образ включить брандмауэр не получалось. С этой проблемой вожусь уже с месяца три и даже перестал использовать эту утилиту.
     
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    с этой багой надо писать разработчику утилиты.
     
  10. lojcin
    Оффлайн

    lojcin Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Я думаю так что этот баг не разраба этой утилиты - это похоже на баг мелких microsoft, если бы эта проблема была-бы в этой утилите, то брандмауэр после отключения этой утилитой можно было-бы включить через запуск функций через "Службы", через "Диспетчер задач" или через реестр. Вот поэтому я и поинтересовался как проверить затрагивает-ли AVZ брандмауэр и можно-ли поставить в AVZ эту функцию что бы утилита не трогала ОС бранмауэр.
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    lojcin, это баг совместимости этой утилиты с этой ОС. AVZ во время своей работы (сканирования) прерывает много процессов и не все потом корректно восстанавливает (помогает только перезагрузка). Возможно и при вызове мастера поиска проблем происходит подобное. В общем если хотите, чтобы это было исправлено, то пишите автору утилиты.
    От себя добавлю, что вы не первый кто на подобные проблемы при запуске AVZ жалуется на windows 10. У самого 10-ки нету, так что я это тестировать не могу.
    --- Объединённое сообщение, 28 окт 2015 ---
    если и можно, то внутрь AVZ её может запихнуть только разработчик.
     
  12. lojcin
    Оффлайн

    lojcin Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Спасибо, большое за внимание и ещё вопрос(по поводу разработчика); Это сюда писать:
    удалено
     
    Последнее редактирование модератором: 28 окт 2015
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
  14. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.349
    Симпатии:
    299
    линк битый.
     
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Лучший автор месяца

    Сообщения:
    8.295
    Симпатии:
    4.577
    А не пробовали брандмауэр отключать перед запуском авз?
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.276
    fseto, опять не читаешь тему, уже обсуждалось.
     
    fseto нравится это.
  17. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    не обращал внимания на это, хотя имею вин 10 на ноутбуке, вечером проверю этот факт.
     
  18. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.488
    Симпатии:
    883
    Ссылки на Virusinfo здесь обрезаются.
     
  19. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.349
    Симпатии:
    299
    :Yes3:
     
  20. lojcin
    Оффлайн

    lojcin Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Нет.
    p.s. спасибо за идею, но эти откаты и восстановления...(мелкие думают что я что-то химичу???) ОС временная на 90 дней...
    --- Объединённое сообщение, 28 окт 2015 ---
    вторая ссылка(подтверждаю).
     
  21. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.349
    Симпатии:
    299
    Всех за собой потящил))
    она и не должна работать:
     

Поделиться этой страницей