Утилита является прямым аналогом программ TrojanHunter и LavaSoftAd-aware 6. Первичной задачей программы является удаление SpyWare итроянских программ. Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
Микропрограммы эвристической проверки системы.Микропрограммы проводят поиск известных SpyWare и вирусов по косвеннымпризнакам - на основании анализа реестра, файлов на диске и в памяти.
Обновляемая база безопасных файлов.В нее входят цифровые подписи десятков тысяч системных файлов и файловизвестных безопасных процессов. База подключена ко всем системам AVZ иработает по принципу "свой/чужой" - безопасные файлы не вносятся вкарантин, для них заблокировано удаление и вывод предупреждений, базаиспользуется антируткитом, системой поиска файлов, различнымианализаторами. В частности, встроенный диспетчер процессов выделяетбезопасные процессы и сервисы цветом, поиск файлов на диске можетисключать из поиска известные файлы (что очень полезно при поиске надиске троянских программ);
Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатурна основании исследования базовых системных библиотек на предметперехвата их функций. AVZ может не только обнаруживать RootKit, но ипроизводить корректную блокировку работы UserMode RootKit для своегопроцесса и KernelMode RootKit на уровне системы. ПротиводействиеRootKit распространяется на все сервисные функции AVZ, в результатесканер AVZ может обнаруживать маскируемые процессы, система поиска вреестре "видит" маскируемые ключи и т.п. Антируткит снабженанализатором, который проводит обнаружение процессов и сервисов,маскируемых RootKit. Одной из главных на мой взгляд особенностейсистемы противодействия RootKit является ее работоспособность в Win9X(распространеннное мнение об отсуствии RootKit, работающих на платформеWin9X глубоко ошибочно - известны сотни троянских программ,перехватывающих API функции для маскировки своего присутствия, дляискажения работы API функций или слежения за их использованием). Другойособенностью является универсальная система обнаружения и блокированияKernelMode RootKit, работоспособная под Windows NT, Windows 2000pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003Server SP1
Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
Нейроанализатор.Помино сигнатурного анализатора AVZ содержит нейроэмулятор, которыйпозволяет производить исследование подозрительных файлов при помощинейросети. В настоящее время нейросеть применяется в детекторекейлоггеров.
Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическоелечение. Возможность автоматической диагностики и лечения полезна дляначинающих пользователей (в утилитах типа LSPFix автоматическое лечениеотсутствует). Для исследования SPI/LSP вручную в программе имеетсяспециальный менеджер настроек LSP/SPI. На работу анализатора WinsockSPI/LSP распространяется действие антируткита;
Встроенный диспетчер процессов, сервисов и драйверов.Предназначен для изучения запущенных процессов и загруженных библиотек,запущенных сервисов и драйверов. На работу диспетчера процессовраспространяется действие антируткита (как следствие - он "видит"маскируемые руткитом процессы). Диспетчер процессов связан с базойбезопасных файлов AVZ, опознанные безопасные и системные файлывыделяются цветом;
Встроенная утилита для поиска файлов на диске.Позволяет искать файл по различным критериям, возможности системыпоиска превосходят возможности системного поиска. На работу системыпоиска распространяется действие антируткита (как следствие - поиск"видит" маскируемые руткитом файлы и может удалить их), фильтрпозволяет исключать из результатов поиска файлы, опознанные AVZ какбезопасные. Результаты поиска доступны в виде текстового протокола и ввиде таблицы, в которой можно пометить группу файлов для последующегоудаления или помещения в карантин
Встроенная утилита для поиска данных в реестре.Позволяет искать ключи и параметры по заданному образцу, результатыпоиска доступны в виде текстового протокола и в виде таблицы, в которойможно отметить несколько ключей для их экспорта или удаления. На работусистемы поиска распространяется действие антируткита (как следствие -поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
Встроенный анализатор открытых портов TCP/UDP.На него распространяется действие антируткита, в Windows XP для каждогопорта отображается использующий порт процесс. Анализатор опирается наобновляемую базу портов известных троянских/Backdoor программ иизвестных системных сервисов. Поиск портов троянских программ включен восновной алгоритм проверки системы - при обнаружении подозрительныхпортов в протокол выводятся предупреждения с указанием, каким троянскихпрограммам свойственно использование данного порта
Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
Микропрограммы восстановления системы.Микропрограммы проводят восстановления настроек Internet Explorer,параметров запуска программ и иные системные параметры, повреждаемыевредоносными программами. Восстановление запускается вручную,восстанавливаемые параметры указываются пользователем.
Эвристическое удаление файлов.Суть его состоит в том, что если в ходе лечения удалялись вредоносныефайлы и включена эта опция, то производится автоматическое исследованиесистемы, охватывающее классы, BHO, расширения IE и Explorer, вседоступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденныессылки на удаленный файл автоматически вычищаются с занесением впротокол информации о том, что конкретно и где было вычищено. Для этойчистки активно применяется движок микропрограмм лечения системы;
Проверка архивов.Начиная с версии 3.60 AVZ поддерживает проверку архивов и составныхфайлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB,GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
Скрипты управления.Позволяют администратору написать скрипт, выполняющий на ПКпользователя набор заданных операций. Скрипты позволяют применять AVZ вкорпоративной сети, включая его запуск в ходе загрузки системы.
Анализатор процессов.Анализатор использует нейросети и микропрограммы анализа, он включаетсяпри включении расширенного анализа на максимальном уровне эвристики ипредназначен для поиска подозрительных процессов в памяти.
Система AVZGuard. Предназначенадля борьбы с трудноудалимыми вредоносными програмами, может кроме AVZзащищать указанные пользователем приложения, например, другиеантишпионские и антивирусные программы.
Система прямого доступа к дискудля работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS,поддерживается на всех операционных системах линейки NT, позволяетсканеру анализировать заблокированные файлы и помещать их в карантин.
Драйвер мониторинга процессов и драйверов AVZPM.Предназначен для отслеживания запуска и остановки процессов изагрузки/выгрузки драйверов для поиска маскирующихся драйверов иобнаружения искажений в описывающих процессы и драйверы структурах,создаваемых DKOM руткитами.
Драйвер Boot Cleaner.Предназначен для выполнения чистки системы (удаление файлов, драйверови служб, ключей реестра) из KernelMode. Операция чистки можетвыполняться как в процессе перезагрузки компьютера, так и в ходелечения.
Главная 
