-
Антивирусная утилита AVZ - 4.22 + AVZGuard/AVZPM
Вышла новая версия антивирусной утилиты AVZ - 4.22 + AVZGuard/AVZPM
Архив с утилитой содержит базу вирусов от 12.12.2006 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 364 микропрограммы эвристики, 54310 подписей безопасных файлов
Список доработок и модификаций: (http://www.z-oleg.com/secur/avz/download.php)
[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах
[++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты
[++] Скрипты - новые команды для работы с драйверами и службами, управления AVZPM, вызов стандартных скриптов и
скриптов восстановления системы, копирование и переименование файлов. Новые функции описаны в справке,
в справку добавлен ряд типовых примеров скриптов
[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.
[+] Переделан менеджер процессов - к нему подключена система AVZPM
[+] Переделан менеджер модулей пространства ядра - к нему подключена система AVZPM,
введена сортировка по всем столбцам, добавлен отдельный столбец с именем драйвера
[+] Усовершенствовано автообновления - если AVZPM активен в момент обновления, то его драйвер
автоматические обновляется при необходимости
[+] Менеджер модулей пространства ядра - добавлена функция дампирование драйвера,
сортировка по всем полям, раздельные поля для имени драйвера и полного имени драйвера
[+] Поддежка распаковки и сканирования файлов в MIME формате (формат распознается по содержимому)
[+] Опция закрытия сеанса и файлы в менеджере сетевых сеансов
[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за
счет автоподстановки типовых команд
[+] Скрипты - усовершенствована функция QuarantineFile - в случае указания имени файла без пути
производится поиск файла по системному алгоритму
[+] Менеджер автозапуска - доработан анализ и модификация AppInit_DLLs
[+] Менеджер общих ресурсов и сетевых сеансов - добавлена функция закрытия сеанса или
открытого по сети файла
[+] Введена шифровка пароля прокси в INI файле
[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;
Немного подробнее про AVZPM. Это Boot драйвер, задачей которого является слежение за запуском/остановом процессов и загрузкой драйверов. Этот драйвер накапливает информацию, что позволяет в дальнейшем обнаруживать маскируемые процессы/драйверы и детектировать модификации системных структур, выполняемые DKOM руткитами. AVZPM подключен к диспетчеру процессов, диспетчеру модулей пространства ядра и антируткиту. После первого включения AVZPM рекомендуется перезагрузиться, чтобы драйвер собрал информацию о запускающихся процессах. Драйвер можно оставить в системе, так как он практически не потребляет ресурсов и не влияет на быстродействие ПК. В дальнейшем этот драйвер станет прототипом монитора AVZ для проверки процессов в момен их запуска.
Последний раз редактировалось Зайцев Олег; 12.12.2006 в 16:16.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 69
[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах
A можно поподробнее?
[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.
Со старыми базами как поступать?
-
Сообщение от
DimaT
A можно поподробнее?
Со старыми базами как поступать?
Старые базы можно выкидывать - в архиве с новой версией новая база. Про AVZPM более подробно есть в справке (раздел 8 http://www.z-oleg.com/secur/avz_doc/), и я еще тут немного позже напишу более расширенное описание.
-
-
Друзья тестеры, хелперы и пользователи!
Английская версия 4.22 вышла с частично моей версией перевода. По всем вопросам, связанным с качеством перевода, просьба пинать меня Думаю, можно сказать, что я теперь являюсь официально ответственным за перевод
Последний раз редактировалось NickGolovko; 12.12.2006 в 19:33.
-
[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за
счет автоподстановки типовых команд
Это очень хорошая модификация=))
[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;
Это означает что NewDoNet теперь нормально лечиться?
Олег ещё вопросик, или к знающим вот примерно такие ключи
HKLM\System\CCS\Services\Tcpip\
HKLM\System\CCS\Services\Tcpip\
HKLM\System\CS1\Services\Tcpip\
за что отвечают или что означают..
Заранее спасибо за ответ!
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Олег, добрый день! Что-то непонятно с логикой исследования системы? Говорится: "Вы хотите посмотреть протокол?" Да, а просмотр протокола не запускается. .
-
-
2 Ego1st: Сейчас посмотрю. Tiny Firewall - Run Administration Center - System Protection - Registry. Ага. Вот оно, мое правило на HKLM/System/CurrentControlSet/Services/Tcpip. А называется оно... ну-ка... Hosts file branch.
Это ветка, определяющая параметры одноименного протокола. В том числе там хранится размещение Hosts файла. Это очень опасная ветка, потому что можно ее изменить и засунуть Hosts файл неведомо куда, в то время как старый файл будет мирно лежать на месте, вводя в заблуждение юзеров и некоторые не совсем умные антишпионы
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
santy
Олег, добрый день! Что-то непонятно с логикой исследования системы? Говорится: "Вы хотите посмотреть протокол?" Да, а просмотр протокола не запускается.
.
А файл на диске сохраняется ? Дело в том, что далее делается попытка отрыть сохраненный файл дефолтной программой ... если таковой программы нет или нарушена ассоциация с файлом htm, то он не откроется.
-
-
Сообщение от
NickGolovko
2 Ego1st: Сейчас посмотрю.
Tiny Firewall - Run Administration Center - System Protection - Registry. Ага. Вот оно, мое правило на HKLM/System/CurrentControlSet/Services/Tcpip. А называется оно... ну-ка... Hosts file branch.
Это ветка, определяющая параметры одноименного протокола. В том числе там хранится размещение Hosts файла. Это очень опасная ветка, потому что можно ее изменить и засунуть Hosts файл неведомо куда, в то время как старый файл будет мирно лежать на месте, вводя в заблуждение юзеров и некоторые не совсем умные антишпионы
Хм... А АВЗ достаточно умный?
-
-
Пару месяцев назад я спрашивал Олега, как AVZ определяет местоположение этого файла. В общем, к этому моменту AVZ должен уже быть достаточно умным Можете сами проверить
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
NickGolovko
Пару месяцев назад я спрашивал Олега, как AVZ определяет местоположение этого файла.
В общем, к этому моменту AVZ должен уже быть достаточно умным
Можете сами проверить
Не факт кстати - я не помню, как оно там определяется ... сколько я помню, моя идеалогия была проверять hosts на стандартном месте + подымать тревогу при перемещении файла при помощи правки ключика в реестре.
-
-
А как можно узнать нформацию о кол-ве вирусных сигнатур, не начиная проверки ПК? Может поместить ее куда-нить в "Справка -> О программе"..
-
А как же ее скачать AVZ 4.22?
Уважаемый Олег Зайцев, с вашего сайта по ссылке качается версия 4.21. А по ссылке на Рапиде выдает ошибку 406.
А вообще Спасибо за Вашу работу!
-
-
С сайта ещё вчера качалась 4.22.
-
-
Сообщение от
pig
С сайта ещё вчера качалась 4.22.
А сейчас, к сожалению, не качается - именно с сайта автора! Вернее я Скачала ( по ссылке, справа от описания обновлений в версии 4.22), но при запуске и контрольной попытке обновления баз, программа просит обновиться до версии 4.22(а это, говорит, версия 4.21!)
-
-
Сообщение от
Irisa
Уважаемый Олег Зайцев, с вашего сайта по ссылке качается версия 4.21. А по ссылке на Рапиде выдает ошибку 406.
А вообще Спасибо за Вашу работу!
судя по всему выход в Инет идет через прокси и он кеширует где-то файлы и блокирует операции. На всякий случай я перезарядил файлы на rapidshare - но вые ссылки на страничке загрузки AVZ.
-
-
ошибка
На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?
-
-
Тоже W2k3. антивирь - Симантек. Все работает (в смысле АВЗ 4.22) со вчера и до теперь. А с НОДом я и раньше при проверках АВЗ нарывался на BSOD...
-
-
Сообщение от
Alvares
На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?
Возможно, NOD пытается как-то вмешаться в работу драйверов AVZ и делает это не совсем корректно - у меня в драйвера кругом понаставлены обработчики ошибок, поэтому BSOD без стороннего вмешательства маловероятен.
-
-
Я предлагаю при запуске сканирования программы авз,добавления монитора -> предупреждать пользователя , что следует отключиться от интернета , и отключить активные компоненты защиты системы (антивирусы ...)во избежания конфликтов , да и сканирование намного быстрее проходит , когда другие антивирусы не мешают .
-