AVZ: различия между версиями
Перейти к навигации
Перейти к поиску
| [непроверенная версия] | [непроверенная версия] |
Содержимое удалено Содержимое добавлено
VolkovBot (обсуждение | вклад) м бот: нормализация орфографии |
м викификация |
||
| Строка 14: | Строка 14: | ||
Помимо стандартных [[Антивирусная программа#Классификация антивирусов|сканер]]а (с [[Эвристическое сканирование|эвристическим анализатором]]) и [[Антивирусная программа#Классификация антивирусов|ревизор]]а включает в себя ряд средств, часть которых являются нетипичными (на [[2007]] год) и предоставляющими достаточно грамотному пользователю расширенные средства контроля. |
Помимо стандартных [[Антивирусная программа#Классификация антивирусов|сканер]]а (с [[Эвристическое сканирование|эвристическим анализатором]]) и [[Антивирусная программа#Классификация антивирусов|ревизор]]а включает в себя ряд средств, часть которых являются нетипичными (на [[2007]] год) и предоставляющими достаточно грамотному пользователю расширенные средства контроля. |
||
Программа была разработана Олегом Зайцевым. В настоящее (30 июня [[2007]]) время эта утилита принадлежит Лаборатории Касперского. |
Программа была разработана [[Зайцев, Олег|Олегом Зайцевым]]. В настоящее (30 июня [[2007]]) время эта утилита принадлежит [[Лаборатория Касперского|Лаборатории Касперского]]. |
||
== Назначение == |
== Назначение == |
||
| Строка 28: | Строка 28: | ||
== Средства, встроенные в AVZ<ref>Приводится по [http://www.z-oleg.com/secur/avz/ http://www.z-oleg.com/secur/avz/]</ref> == |
== Средства, встроенные в AVZ<ref>Приводится по [http://www.z-oleg.com/secur/avz/ http://www.z-oleg.com/secur/avz/]</ref> == |
||
* '''Микропрограммы эвристической проверки системы.''' Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам — на основании анализа реестра, файлов на диске и в памяти. |
* '''Микропрограммы эвристической проверки системы.''' Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам — на основании анализа [[Реестр Windows|реестра]], файлов на диске и в памяти. |
||
* '''Обновляемая база безопасных файлов.''' В неё входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» — безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ); |
* '''Обновляемая база безопасных файлов.''' В неё входят [[Электронная цифровая подпись|цифровые подписи]] десятков тысяч системных файлов и файлов известных безопасных [[Процесс (информатика)|процессов]]. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» — безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ); |
||
* '''Встроенная система обнаружения Rootkit.''' Поиск RootKit идёт без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т. п. Антируткит снабжён анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является её работоспособность в Win9X (распространённное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно — известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1 |
* '''Встроенная система обнаружения Rootkit.''' Поиск [[RootKit]] идёт без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т. п. Антируткит снабжён анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является её работоспособность в Win9X (распространённное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно — известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1 |
||
* '''Детектор клавиатурных шпионов (Keylogger) и троянских DLL.''' Поиск Keylogger и троянских DLL ведётся на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger; |
* '''Детектор клавиатурных шпионов (Keylogger) и троянских DLL.''' Поиск [[Keylogger]] и троянских DLL ведётся на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger; |
||
* '''Нейроанализатор.''' Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров. |
* '''Нейроанализатор.''' Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи [[нейросеть|нейросети]]. В настоящее время нейросеть применяется в детекторе кейлоггеров. |
||
* '''Встроенный анализатор Winsock SPI/LSP настроек.''' Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита; |
* '''Встроенный анализатор Winsock SPI/LSP настроек.''' Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита; |
||
* '''Встроенный диспетчер процессов, сервисов и драйверов.''' Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие — он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом; |
* '''Встроенный диспетчер процессов, сервисов и драйверов.''' Предназначен для изучения запущенных [[Процесс (информатика)|процессов]] и загруженных [[Библиотека (программирование)|библиотек]], запущенных [[Службы Windows|сервисов]] и [[драйвер|драйверов]]. На работу диспетчера процессов распространяется действие антируткита (как следствие — он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом; |
||
* '''Встроенная утилита для поиска файлов на диске.''' Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин |
* '''Встроенная утилита для поиска файлов на диске.''' Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин |
||
* '''Встроенная утилита для поиска данных в реестре.''' Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом ключи реестра и может удалить их) |
* '''Встроенная утилита для поиска данных в реестре.''' Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом ключи реестра и может удалить их) |
||
| Строка 40: | Строка 40: | ||
* '''Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов.''' Работает в Win9X и в Nt/W2K/XP. |
* '''Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов.''' Работает в Win9X и в Nt/W2K/XP. |
||
* '''Встроенный анализатор Downloaded Program Files (DPF)''' — отображает элементы DPF, подключен ко всем сситемам AVZ. |
* '''Встроенный анализатор Downloaded Program Files (DPF)''' — отображает элементы DPF, подключен ко всем сситемам AVZ. |
||
* '''Микропрограммы восстановления системы.''' Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем. |
* '''Микропрограммы восстановления системы.''' Микропрограммы проводят восстановления настроек [[Internet Explorer]], параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем. |
||
* '''Эвристическое удаление файлов.''' Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т. п. Все найденные ссылки на удалённый файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы; |
* '''Эвристическое удаление файлов.''' Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т. п. Все найденные ссылки на удалённый файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы; |
||
* '''Проверка архивов.''' Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы |
* '''Проверка архивов.''' Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы |
||
* '''Проверка и лечение потоков NTFS.''' Проверка NTFS потоков включена в AVZ начиная с версии 3.75 |
* '''Проверка и лечение потоков NTFS.''' Проверка [[NTFS]] потоков включена в AVZ начиная с версии 3.75 |
||
* '''Скрипты управления.''' Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы. |
* '''Скрипты управления.''' Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы. |
||
* '''Анализатор процессов.''' Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти. |
* '''Анализатор процессов.''' Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти. |
||
| Строка 59: | Строка 59: | ||
* [http://virusinfo.info/forumdisplay.php?s=618654f80d89545a1715e7714c18ed80&f=46 раздел на форуме virusinfo.info, где обсуждается применение AVZ в реальных задачах] |
* [http://virusinfo.info/forumdisplay.php?s=618654f80d89545a1715e7714c18ed80&f=46 раздел на форуме virusinfo.info, где обсуждается применение AVZ в реальных задачах] |
||
{{rq |
{{rq|iwiki}} |
||
[[Категория:Антивирусы]] |
[[Категория:Антивирусы]] |
||
Версия от 20:40, 10 июня 2008
| AVZ | |
|---|---|
 AVZ4 под управлением Vista B. 64x | |
| Тип | Антивирусное Программное Обеспечение |
| Разработчик |
 |
| Операционная система | Windows |
| Последняя версия | 4.30 |
| Лицензия | freeware |
| Сайт | http://www.z-oleg.com/secur/avz/ |
AVZ — бесплатная антивирусная утилита. Несмотря на freeware — распространение и скромный эпитет «утилита», этот антивирус мало чем уступает аналогичным коммерческим продуктам, а в чём-то даже превосходит их.
Помимо стандартных сканера (с эвристическим анализатором) и ревизора включает в себя ряд средств, часть которых являются нетипичными (на 2007 год) и предоставляющими достаточно грамотному пользователю расширенные средства контроля.
Программа была разработана Олегом Зайцевым. В настоящее (30 июня 2007) время эта утилита принадлежит Лаборатории Касперского.
Назначение
Программа служит для нахождения и удаления:
- SpyWare и AdWare.
- Троянских программ
- BackDoor
- Вирусов
- Сетевых червей
- Почтовых червей
- Руткитов
- Кейллогеров
Средства, встроенные в AVZ[1]
- Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам — на основании анализа реестра, файлов на диске и в памяти.
- Обновляемая база безопасных файлов. В неё входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» — безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
- Встроенная система обнаружения Rootkit. Поиск RootKit идёт без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т. п. Антируткит снабжён анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является её работоспособность в Win9X (распространённное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно — известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
- Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведётся на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
- Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
- Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
- Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие — он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
- Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
- Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом ключи реестра и может удалить их)
- Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включён в основной алгоритм проверки системы — при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
- Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
- Встроенный анализатор Downloaded Program Files (DPF) — отображает элементы DPF, подключен ко всем сситемам AVZ.
- Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
- Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т. п. Все найденные ссылки на удалённый файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
- Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
- Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
- Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
- Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
- Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
- Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
- Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
- Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
Примечания
- ↑ Приводится по http://www.z-oleg.com/secur/avz/
Ссылки
- Интервью с создателем
- AVZ перешёл к Касперским
- раздел на форуме virusinfo.info, где обсуждается применение AVZ в реальных задачах
 | Для улучшения этой статьи желательно:
|