1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Антивирусная утилита AVZ. Назначение программы и решаемые ею задачи

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Sergei, 18 май 2009.

Метки:
  1. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Баллы:
    473
    Антивирусная утилита AVZ предназначена для обнаружения и удаления:

    • SpyWare и AdWare модулей - это основное назначение утилиты
    • Dialer (Trojan.Dialer)
    • Троянских программ
    • BackDoor модулей
    • Сетевых и почтовых червей
    • TrojanSpy, TrojanDownloader, TrojanDropper

    Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
    Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

    • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
    • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
    • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
    • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
    • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
    • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
    • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
    • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
    • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
    • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
    • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
    • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
    • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
    • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
    • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
    • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
    • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
    • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
    • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
    • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
    • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
    • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
    Источник
     
    Последнее редактирование модератором: 19 дек 2014
    Theriollaria, Vlad19, machito и 12 другим нравится это.
  2. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.006
    Симпатии:
    1.465
    Баллы:
    428
    [​IMG]

    [​IMG]

    [​IMG]
     
    Последнее редактирование модератором: 23 фев 2014
    3 пользователям это понравилось.
  3. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.086
    Симпатии:
    14.377
    Баллы:
    2.193
    Вышла новая версия антивирусной утилиты AVZ - 4.43. Архив с утилитой содержит базу вирусов от 23.12.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.

    Основные модификации:
    [++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
    [++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
    [++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
    [++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
    [++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
    [+] Вывод MD5 по процессам в HTML отчет
    [+] Вывод полного названия версии ОС в протокол и XML
    [+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
    [+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
    [+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
    [+/-] В XML версия файлов выведена в формате x.x.x.x
    [+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
    [+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
    [-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
    [-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
    [-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
    [-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)

    Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php
     
    iskander-k, 3JoKeR3, Sandor и 3 другим нравится это.
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    В AVZ появился новый девятый стандартный скрипт.

     
    Alex1983, akok, Phoenix и 5 другим нравится это.
  5. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Баллы:
    473
    авот ето вот что такое?
    При выполнении стандартных скриптов 1 или 3
    ав отключено
     
    Последнее редактирование: 26 июн 2014
  6. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    2.015
    Симпатии:
    1.988
    Баллы:
    283
    Код (Text):
     Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    Во первых не оригинальное ядро, во вторых система х64. (Ошибка AVZ Guard: C000036B - драйвера не устанавливаются на перехват)
    Код (DOS):
    begin
    if IsWOW64 then
    AddToLog('WOW64 = true')
    else
    AddToLog('WOW64 = false');
    end.
     
    Последнее редактирование: 26 июн 2014
    Sergei нравится это.
  7. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    Sergei, из справки AVZ:

     
  8. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Баллы:
    473
    Vot. Teper ja spokojen. Vsem spasibo :)
     
  9. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Баллы:
    73
    Как то он забросил свой авз. Ничего нового не появляется.
     
  10. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.086
    Симпатии:
    14.377
    Баллы:
    2.193
    Базы обновляются, в остальном да.
     
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.761
    Симпатии:
    4.765
    Баллы:
    593
    Периодически появляется и обкатывается на версии полиморфа.
     
    Последнее редактирование модератором: 22 сен 2014
  12. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    Разработчик отвечает на вопросы, но правда на других форумах. Здесь его кажется нет.
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    но по большей части он игнорирует. Последние несколько месяцев все вопросы (кроме одного) которые ему задавались остались без внимания. Также как и сообщения о багах.
     
  14. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Баллы:
    73
    Проинформируйте пож-та, что было в тот одном вопросе и сам ответ, если не трудно.
     
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.761
    Симпатии:
    4.765
    Баллы:
    593
  16. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов. :Sad:

    [​IMG]
     
    Dragokas и shestale нравится это.
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    только небольшая поправка, этот скрипт ярлыки браузеров не меняет, а всего лишь принудительно загружает в браузеры расширение Site Navigation 1.0 или аналогичное.
     
    Dragokas и Drongo нравится это.
  18. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.761
    Симпатии:
    4.765
    Баллы:
    593
    mike 1, а ты Зайцеву уже отписался?
     
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    shestale, ему отписался намного раньше чем здесь. И уже и на форуме ЛК продублировал.
     
    Dragokas нравится это.
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    Раз и здесь об этом написали, то продублирую сюда ответ Олега, чтобы не пугать пользователей
     
    Dragokas нравится это.
  21. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из
    Код (Microsoft Registry):
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies
     
    Dragokas, mike 1, Kиpилл и 2 другим нравится это.

Поделиться этой страницей