AVZ
AVZ je bezplatný antivirový program .
Kromě konvenčních skenerů (s heuristickým analyzátorem ) a auditora obsahuje řadu nástrojů pro automatizaci odstraňování malwaru, z nichž některé jsou atypické (pro rok 2007 ) a poskytují poměrně kompetentnímu uživateli pokročilé ovládací prvky.
Program vyvinul Oleg Zaitsev. Od roku 2007 Oleg pracuje [1] v Kaspersky Lab [2] a zůstává jediným vývojářem AVZ. Vývoj a technologie používané v AVZ jsou součástí hlavních produktů společnosti Kaspersky Lab – Kaspersky Internet Security 2009/2010 a Kaspersky for Windows Workstation 6 MP4.
Schůzka
Program se používá k vyhledání a odstranění:
Program se také používá k vytváření protokolů , což je užitečné při žádosti o pomoc na antivirových fórech.
Nástroje zabudované do AVZ [3]
Systémový heuristický firmware
Firmware vyhledává známý spyware a viry nepřímými znaky – na základě analýzy
registru , souborů na disku a v paměti.
Aktualizovaná databáze bezpečných souborů
Zahrnuje
digitální podpisy desítek tisíc systémových souborů a souborů známých bezpečných
procesů . Databáze je propojena se všemi systémy AVZ a funguje na principu "přítel/nepřítel" - bezpečné soubory nejsou umístěny do karantény, je pro ně blokováno mazání a varování, databázi využívá anti-rootkit, systém vyhledávání souborů a různé analyzátory. Zejména vestavěný správce procesů barevně zvýrazňuje bezpečné procesy a služby, vyhledávání souborů na disku dokáže z vyhledávání vyloučit známé soubory (což je velmi užitečné při hledání trojských koní na disku).
Detektor rootkitů (vestavěný)
Hledání
rootkitů probíhá bez použití signatur, na základě studia základních systémových knihoven za účelem zachycení jejich funkcí. AVZ dokáže nejen podezřívat přítomnost rootkitů, ale také správně blokovat provoz rootkitů. Odolnost vůči rootkitům se vztahuje na všechny funkce služby AVZ, takže skener AVZ dokáže detekovat maskované procesy, systém vyhledávání v registru „vidí“ maskované klíče atd. Anti-rootkit je vybaven analyzátorem, který detekuje procesy a služby maskované rootkity . Funkce anti-rootkit systému je jeho výkon ve
Windows 9x . Další funkcí je univerzální systém pro detekci a blokování rootkitů KernelMode, který funguje pod Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, XP SP3, Windows 2003 Server, Windows 2003 Server SP1.
Keylogger a Trojan DLL detektor
Vyhledávání
keyloggerů a trojských knihoven DLL je založeno na analýze systému bez použití databáze signatur, což umožňuje detekci dříve neznámých trojských knihoven DLL a keyloggerů, ale jsou také možné falešné poplachy.
Neuroanalyzátor
Kromě analyzátoru signatur obsahuje AVZ neuroemulátor, který umožňuje analyzovat podezřelé soubory pomocí
neuronové sítě . V současnosti se neuronová síť používá v detektoru keyloggeru.
Analyzátor nastavení Winsock SPI/LSP (vestavěný)
Umožňuje analyzovat nastavení, diagnostikovat možné chyby v nastavení a provádět automatické ošetření. Možnost automatické diagnostiky a léčby je užitečná pro začínající uživatele (v utilitách jako LSPFix není automatická léčba). Pro ruční studium SPI/LSP má program speciální správce nastavení LSP/SPI. Činnost analyzátoru Winsock SPI/LSP je ovlivněna anti-rootkitem.
Manažer procesů, služeb a ovladačů (vestavěný)
Navrženo pro studium běžících
procesů a načtených
knihoven , běžících
služeb a
ovladačů . Činnost správce procesů je ovlivněna anti-rootkitem (v důsledku toho „vidí“ procesy maskované rootkitem). Správce procesů je propojen s databází bezpečných souborů AVZ, rozpoznané bezpečné a systémové soubory jsou barevně zvýrazněny.
Nástroj pro vyhledávání souborů na disku (vestavěný)
Umožňuje vyhledávat soubor podle různých kritérií, možnosti vyhledávacího systému jsou lepší než možnosti systémového vyhledávání. Činnost vyhledávacího systému je ovlivněna anti-rootkitem (vyhledávání „vidí“ soubory maskované rootkitem a může je smazat), filtr umožňuje vyloučit z výsledků vyhledávání soubory identifikované AVZ jako bezpečný. Výsledky hledání jsou k dispozici jako textový protokol a jako tabulka, kde můžete označit skupinu souborů pro pozdější smazání nebo karanténu.
Nástroj pro vyhledávání dat v registru (vestavěný)
Umožňuje vyhledávat klíče a parametry podle daného vzoru, výsledky vyhledávání jsou k dispozici ve formě textového protokolu a ve formě tabulky, ve které lze označit více klíčů pro export nebo smazání. Činnost vyhledávacího systému je ovlivněna anti-rootkitem (v důsledku toho vyhledávání „vidí“ klíče registru maskované rootkitem a může je smazat).
TCP/UDP analyzátor otevřených portů (vestavěný)
Je ovlivněn anti-rootkitem, ve Windows XP se pro každý port zobrazuje proces využívající port. Analyzátor se spoléhá na aktualizovanou databázi známých portů trojských koní/zadních vrátek a známých systémových služeb. Hledání portů trojských koní je součástí hlavního algoritmu kontroly systému – když jsou detekovány podezřelé porty, v protokolu se zobrazí varování, která označují, které trojské koně mají tendenci tento port používat.
Analyzátor sdílených zdrojů, síťových relací a souborů otevřených v síti (vestavěný)
Funguje na Windows 9x a NT/2k/XP.
Analyzátor stažených programových souborů (DPF) (vestavěný)
Zobrazuje prvky DPF, připojené ke všem systémům AVZ.
Firmware pro obnovu systému
Firmware obnoví nastavení
aplikace Internet Explorer , možnosti spouštění programu a další systémová nastavení poškozená malwarem. Obnova se spouští ručně, parametry, které se mají obnovit, zadává uživatel.
Heuristické mazání souboru
Jeho podstatou je, že pokud byly během léčby smazány škodlivé soubory a tato možnost je povolena, provede se automatická kontrola systému, která zahrnuje třídy, rozšíření
BHO , IE a Explorer , všechny typy autorun dostupné pro AVZ, Winlogon, SPI / LSP, atd. Všechny nalezené odkazy na smazaný soubor jsou automaticky vyčištěny se záznamem do protokolu o tom, co přesně a kde bylo vyčištěno. K tomuto čištění se aktivně využívá mikroprogramový engine pro ošetření systému.
Kontrola archivů
Počínaje verzí 3.60 AVZ podporuje skenování archivů a složených souborů. V tuto chvíli jsou zkontrolovány archivy
ZIP ,
RAR , CAB,
gzip ,
tar ; e-maily a soubory MHT ; archivy
CHM .
Kontrola a ošetření streamů NTFS
Kontrola
NTFS streamů je součástí AVZ od verze 3.75.
Ovládací skripty
Umožňuje správci napsat skript, který provede sadu zadaných operací na počítači uživatele. Skripty umožňují používat AVZ v podnikové síti včetně jeho spouštění při bootování systému.
Procesní analyzátor
Analyzátor využívá neuronové sítě a analytický firmware, je povolen, když je povolena pokročilá analýza na maximální heuristické úrovni a je určen k vyhledávání podezřelých procesů v paměti.
Systém AVZGuard
Navržený pro boj proti těžko odstranitelnému malwaru, kromě AVZ, dokáže chránit uživatelem specifikované aplikace, jako jsou další antispywarové a antivirové programy.
Systém přímého přístupu na disk pro práci se zamčenými soubory
Pracuje na
FAT16 /
FAT32 /
NTFS , podporuje všechny operační systémy řady NT, umožňuje skeneru analyzovat zamčené soubory a umístit je do karantény.
Ovladač pro monitorování procesů a ovladačů AVZPM
Navrženo pro sledování spouštění a zastavování procesů a načítání/uvolňování ovladačů pro vyhledávání maskovacích ovladačů a zjišťování zkreslení ve strukturách popisujících procesy a ovladače vytvořené
rootkity DKOM .
Ovladač Boot Cleaner
Navrženo k vyčištění systému (odstranění souborů, ovladačů a služeb, klíčů registru) z režimu KernelMode. Čištění lze provést jak v procesu restartování počítače, tak během ošetření.
Poznámky
- ↑ Novinky na webu (nepřístupný odkaz) . Datum přístupu: 22. ledna 2010. Archivováno z originálu 19. srpna 2013. (neurčitý)
- ↑ AVZ přešel na Kaspersky . Získáno 20. června 2007. Archivováno z originálu 1. prosince 2009. (neurčitý)
- ↑ Účel programu a úkoly, které řeší . Získáno 20. června 2007. Archivováno z originálu 13. prosince 2009. (neurčitý)
Odkazy