Дата:   23.11.2017 г.
Время:
 
 
Профессионалам и любителям
ПРОСТО * ДОСТУПНО * ИНТЕРЕСНО
01796
Подписной
индекс
Опрос
Пользуетесь MS Office?
Погода
 
Архив - Верный джин AVZ - Журнал «Компьютер»
Верный джин AVZ
№ 12'2006     Владислав Демьянишин   сайт автора    Тема: Безопасность     ( Прочитано 6902 раз )
 
Сейчас, наверное, нет ни единого пользователя, который не сталкивался бы с компьютерными вирусами. Поэтому, думаю, не нужно объяснять, что такое антивирус или антивирусный пакет. Замечу, лишь, что антивирусы могут находить только уже известные им вирусы, руководствуясь базой сигнатур ранее обнаруженных и исследованных вирусов. Сигнатура – это некое описание основных признаков конкретного вируса, по которым можно распознать вредоносную программу как преступника по фотокарточке. Из-за такого подхода антивирусы всегда будут на один шаг позади вирусов. Это потому, что с момента появления вируса в сети и до момента, когда он попадёт в антивирусную лабораторию, будет исследован и будут разработаны методы его обезвреживания, будет сформирована сигнатура и добавлена в антивирусную базу, которая будет выложена на сервере разработчика антивирусного ПО, и до момента, когда антивирусы пользователей смогут обновить свои базы, пройдут не одни сутки, в течение которых новый вирус сможет осуществить множество атак на компьютеры. Пресловутый эвристический метод обнаружения вирусов появился уже давно, практически с момента появления антивирусного пакета Касперского, но до сих пор этот метод не может тягаться с системой защиты вирусов от обезвреживания. А такой системой защиты вирусы обладают уже давно.
Вы когда-нибудь наблюдали странное поведение своего компьютера, когда в системе явно поселилась какая-то непрошеная зараза, но антивирус ничего не находит? Или бывает так, что антивирус находит какой-то вирус в оперативной памяти, успешно определяет путь на диске, откуда был запущен процесс вируса, то есть где лежит исполняемый файл вредоносной программы, но удалить этот файл не может, потому что этого файла там нет.
Так вот это всё происходит потому, что антивирус пытается вести обнаружение вредоносных программ устаревшими методами, и это притом, что авторы вирусов уже давно стараются брать на вооружение самые новейшие разработки.
Отсюда напрашивается вывод, что современные антивирусы уже не на один, а на целых два шага позади вирусов.
Почему же так происходит, что вирус обнаружен, но не может быть удалён с диска? На самом деле всё просто. Дело в том, что операционная система Windows предоставляет механизмы для виртуализации устройств. Такие механизмы позволяют программе перехватить функции обращения к дисковой системе, да и вообще ко многим функциям API. Таким образом, программа может осуществлять обработку запросов на чтение файла с диска, и на самом деле подставлять данные из файла, например, на USB накопителе, что весьма упрощает пользователю жизнь, чтобы он мог просматривать USB-Flash’ку как обыкновенный винчестер. Но, как и в случае с изобретением ядерного синтеза, нашлись люди, программисты, которые решили применить данные возможности во зло.
С недавних пор такую технологию стали называть словосочетанием RootKit, которое уже становится модным, особенно с момента, когда фирма Sony объявила о новой системе защиты своих компакт дисков от пиратского копирования, которая основана на аналогичной технологии.
Возвращаясь к антивирусам, хочется сказать, что именно поэтому антивирусы, не обладая технологией обезвреживания RootKit практически становятся беспомощными против таких серьёзных вирусов.
 
В этот раз речь пойдёт об антивирусной утилите AVZ (http://z-oleg.com/secur/avz/download.php или http://z-oleg.com/avz4.zip версия 4.15 размером 1.5 Мб), которая обладает системой AntiRootKit по обезвреживанию вирусов, использующих технологию RootKit.
 
История создания
 
Для создания данной утилиты было несколько основных причин:
- Необходимость наличия своей антивирусной утилиты – это очень полезно для системщика и специалиста по безопасности, так как внедрение данной программы в ОАО “СмоленскЭнерго” позволило оперативно вносить новые вирусы в базу, не дожидаясь реакции производителя антивирусного ПО. Подобная оперативная реакция позволила "задушить" на корню несколько эпидемий. Однако, по мере внедрения AVZ его база стала быстро расти, и в скором времени он стал уничтожать SpyWare не хуже существующих продуктов. Планомерное уничтожение SpyWare программ привело к экономии 300-500 МБ трафика в месяц;
- Многие современные вирусы и черви могут выводить из строя популярные антивирусы и Firewall’ы. Прототип AVZ появился, когда сеть ОАО "СмоленскЭнерго" поразил опасный почтовый червь, который уничтожил антивирусное ПО на зараженных ПК пользователей и поставил системщиков перед дилеммой – создать свой простейший антивирус или вручную проверять и чистить несколько сотен ПК. Тогда автор (Зайцев Олег) создал антивирус для уничтожения поразившего сеть ОАО "СмоленскЭнерго" червя и задумался о том, как добиться универсальности;
- Базы знаменитой программы LavaSoft Ad-aware обновляются сравнительно редко, как следствие, эта программа сравнительно плохо уничтожает новые разновидности SpyWare и AdWare. Это было установлено экспериментально на практике;
- Программы типа LavaSoft Ad-aware не уничтожают троянские и Backdoor программы и наоборот, утилиты типа TrojanHunter не борются с SpyWare и AdWare;
- Практически все известные антивирусные утилиты и программы требуют инсталляции, как следствие их применение на большом количестве компьютеров затруднительно. Вторым препятствием для массового применения является диалоговый режим работы;
- Программы типа LavaSoft Ad-aware сравнительно медленно сканируют компьютер и выдают довольно много сообщений о малозначительных вещах, сомнительно влияющих на безопасность ПК (cookies, ключи реестра, папки с "подозрительными" именами типа Gator). AVZ проверяет 10000 файлов в среднем за 1-3 мин (скорость проверки определяется быстродействием диска).
 
Назначение программы и решаемые оной задачи
 
Антивирусная утилита AVZ предназначена для обнаружения и удаления:
- SpyWare и AdWare модулей – это основное назначение утилиты
- Dialer (Trojan.Dialer)
- Троянских программ
- BackDoor модулей
- Сетевых и почтовых червей
- TrojanSpy, TrojanDownloader, TrojanDropper
Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware ver. 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
- Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам – на основании анализа реестра, файлов на диске и в памяти;
- Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" – безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
 
 
 
 
- Встроенная система обнаружения RootKit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных особенностей системы противодействия RootKit является ее работоспособность в Win9x (распространенное мнение об отсутствии RootKit, работающих на платформе Win9x глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1;
- Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
- Нейроанализатор. Помимо сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров;
- Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
- Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
- Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин;
- Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их);
- Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта;
- Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в NT/W2K/XP;
- Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем;
- Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
- Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы;
- Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75;
- Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы;
- Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти;
- Система AVZGuard. Предназначена для борьбы с трудноудаляемыми вредоносными программами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
 
Частично это была официальная информация с сайта разработчика программы AVZ. От себя могу добавить, что был случай, когда при помощи AVZ я смог обнаружить троян, который явно воспользовался RootKit’ом, поскольку стоявший у меня антивирус NOD32 его не обнаруживал и в упор не замечал. Как только запустил AVZ и провёл поиск нечисти, так сразу антивирус NOD32 обнаружил трояна практически одновременно с программой AVZ. Поскольку она, уже отключив RootKit, как раз в тот момент открывала файл трояна для анализа. На лицо работа системы антируткита в AVZ, которая помогла открыть глаза моему антивирусу.
 

 
 
На главную страницу На предыдущую страницу На начало страницы
 
 
 
 
 
2009 - 2017 © СПД Зайцев А.Б.
Сайт является средством массовой информации.
При перепечатке и цитировании в печатных СМИ ссылка на журнал "Компьютер" обязательна.
При перепечатке и цитировании в Интернете обязательна активная гиперссылка на сайт Comput.com.ua, не закрытая для индексирования.
Украина онлайн Рейтинг@Mail.ru Рейтинг Сайтов YandeG