AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

[B]to aintrust[/B]
А драйверу ничего не помешало загрузиться (и AVZ 4.15 тестировался)? Странно, т.к.
1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают :) По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
[B]to all[/B]
Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...

Process Explorer, Диспетчер, Kernel PS - не прибивают

Похоже глюк -
[url]http://virusinfo.info/showpost.php?p=67300&postcount=17[/url]

В логе
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
в разделе "Автозапуск" есть,

а на скриншоте
[url]http://virusinfo.info/showpost.php?p=67288&postcount=10[/url]
нет :?

[quote=RiC]Похоже глюк -
[URL="http://virusinfo.info/showpost.php?p=67300&postcount=17"]http://virusinfo.info/showpost.php?p=67300&postcount=17[/URL]
В логе
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
в разделе "Автозапуск" есть,
а на скриншоте
[URL="http://virusinfo.info/showpost.php?p=67288&postcount=10"]http://virusinfo.info/showpost.php?p=67288&postcount=10[/URL]
нет :?[/quote]
В данном случае все нормально - ur32art.dll прописан в Winlogon, а в менеджере автозапуска Winlogon элементы отображаются отдельно (там в дереве есть ветка для них). На скриншоте выбрана ветка "Автозапуск" , вот его и не видно ... А в логи пишется все, что есть во всех ветвях этого списка

[QUOTE=Зайцев Олег]
1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
[/QUOTE]
А что, трояны "по трем кнопкам запускают штатный диспетчер задач или ProcessExplorer", чтобы убить какой-то процесс? :) Вообще-то, это был TerminateThread()...

[QUOTE=Зайцев Олег]
2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
[/QUOTE]
Сегодня их нет у тебя в коллекции - завтра появятся... а дыра в защите УЖЕ есть. Ты видишь какой-то смысл держать ее открытой?

[QUOTE=Зайцев Олег]
3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
[/QUOTE]
Это да, бывает...

[QUOTE=Зайцев Олег]
4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают :) По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
[/QUOTE]
Здесь ключевое слово - [U]если[/U]. DefenseWall-то как раз и не позволит поставить драйвер недоверенному приложению, т.к. следит за приложениями с момента загрузки компьютера, в отличие от AVZGuard, который начинает это делать, когда все зловредные драйверы уже установлены. Впрочем, как я уже написал, на текущий момент времени даже и драйверов никаких не нужно - AVZGuard пока что нейтрализуется самим же драйвером AVZ! :)

[QUOTE=Зайцев Олег]
5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
[/QUOTE]
Хм... Мне казалось, такие вещи продумываются еще на этапе проектирования системы... Впрочем, сколько разработчиков, столько и мнений, наверное.

[QUOTE=Зайцев Олег]
Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
[/QUOTE]
Разве одно другое исключает? Да и речь пока что не идет о [U]суперзащите[/U] AVZGuard - я лишь посмотрел на те его функции, которые ты продекларировал в анонсе.

Впрочем, если говорить об AVZGuard vs AVZMonitor, то ты знаешь мое мнение - я не сторонник методов лечения пост-фактум, т.к., на мой взгляд, это пустая трата времени - после такого лечения нет никакой уверенности в том, что у тебя на компьютере чего-нибудь не осталось из живности. Да и лечить в таких случаях, по-хорошему, должен почти профи - "домохозяйка" все равно ничего не поймет из того, что ей скажет AVZ или подобная программа... Поэтому - [U]только монитор[/U], и чем скорее, тем лучше!!! :)

[QUOTE=Зайцев Олег]
[B]to all[/B]
Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...[/QUOTE]
Хм... Полагаю, что такой широкомасштабный опыт не имеет особого смысла, ибо практически все методы убиения процесса достаточно хорошо известны.

[B]to aintrust[/B]
трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
Мнение про монитор я знаю - но AVZ в первую очередь инструмент на тот случай, когда у пользователя [U]уже есть [/U] проблемы и нужно с ними бороться ... если бы у всех пользователей был бы хорошо настроенный Firewall, антивирус с монитором + все заплатки, то и проблем бы не было. Но это то далеко не так.

[QUOTE=Зайцев Олег]
3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.[/QUOTE]
Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...

[QUOTE=Sam]Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...[/QUOTE]
Я так и подумал - чтобы все базы оптом загружать. Я сделаю такую возможность, тем более что я хочу надаить ежедневный выпуск обновлений и переделываю формировалку баз ...

2Зайцев Олег
Спасибо!

[QUOTE=Зайцев Олег][B]to aintrust[/B]
трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.[/QUOTE]
А какие, в частности, в AVZGuard есть меры на "случай экзотики", как ты называешь, OpenThread()/TerminateThread()? Я что-то ничего не заметил (или плохо смотрел)?

Впрочем, идет хоккей, и я смотрю на AVZ только в перерывах между периодами! Наши безбожно проигрывают... :(

Кстати, попутно нашел еще один "прокол" в том списке, что представлен в анонсе:
[QUOTE=Зайцев Олег]
Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.[/QUOTE]
Последнее не работает - дочерний процесс от запущенного доверенного или не стартует вообще, или стартует ровно один раз.
Ровно один раз работает в таком сценарии:
- включается AVZGuard;
- затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирается и запускается Far.exe - пока все ОК;
- затем делается попытка изнутри Far-а запустить консольное приложение. Первый раз оно запускается успешно, второй и все последующие - неуспешно, с сообщением "Access denied".

А вот, к примеру, картинка, когда совсем не сработало: [URL="http://aintrust.narod.ru/images/avzguard01.png"]AVZGuard и запуск Проводника как доверенного процесса[/URL].
Делалось так:
- включался AVZGuard;
- затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирался и запускался Explorer.exe;
- затем делалась попытка изнутри Проводника запустить Far.exe - увы, безуспешно, с сообщением "Отказано в доступе" (см. картинку).
Конечно, Проводник - это, в отличие от Far, особый случай, но и такие случаи должны корректно отрабатываться.

[[COLOR="Red"]edit[/COLOR]]
[I]В дополнение ко всему после нескольких запусков AVZ с включением/выключением AVZGuard получил еще и синий экран во время shutdown-а компьютера, а именно:
Bug Check 0xCE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS в модуле avzsg.sys. Дампа, к сожалению, нет - была выключена опция вывода... :(
Явно какой-то странноватый баг в драйвере AVZGuard.

Все, с меня пока хватит этих экспериментов с AVZ ... подожду более продвинутой и устойчивой версии. :)[/I]

[B]to aintrust[/B]
Я тоже смотрел хоккей - наши продули :(
С наследованием доверительных отношений я сегодня провел проверки - в результате обнаружился баг, который и был пофиксен - теперь все наследуется как положено.
По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...

2 Зайцев Олег,
вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...

[QUOTE=Shu_b]2 Зайцев Олег,
вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...[/QUOTE]
[B]Shu_b[/B], чтобы "разобраться" с этим скрытым процессом, я бы настоятельно порекомендовал вам воспользоваться более специализированными программами для поиска/диагностики руткитов, нежели чем AVZ - к примеру, [U]BlackLight[/U] финской компании F-Secure (ее триальную полнофункциональную версию можно найти тут - [URL="http://www.f-secure.com/blacklight/try.shtml"]http://www.f-secure.com/blacklight/try.shtml[/URL]) или [U]RootkitRevealer[/U] от Sysinternals (ее можно найти тут - [URL="http://www.sysinternals.com/Utilities/RootkitRevealer.html"]http://www.sysinternals.com/Utilities/RootkitRevealer.html[/URL]).

Для поиска модуля скрытого процесса стоит также попробовать [U]ProcessHunter[/U], написанный MS Rem-ом (найти ее можно тут - [URL="http://www.wasm.ru/pub/21/files/phunter.rar"]http://www.wasm.ru/pub/21/files/phunter.rar[/URL]). Эта программа содержит множество методик поиска скрытых процессов и соответствующих им модулей на диске.

PS. Извиняюсь, что невольно получился off-topic - перенесите, если необходимо, в соответствующий раздел.
PPS. А если не секрет, что это за онлайновый магазин? Какой-то известный?

[QUOTE=Зайцев Олег][B]to aintrust[/B]
Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...[/QUOTE]
А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.

[QUOTE=RiC]А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.[/QUOTE]
да, я завтра так и сделаю - выйдет новый релиз с обновленным драйвером.

[QUOTE=Зайцев Олег][B]to aintrust[/B]...
По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...[/QUOTE]
Все равно AVZ в режиме AVZGuard легко убивается любым недоверенным user-mode процессом... впрочем, он убивается даже (!!!) стандартным виндовым Task Manager-ом :)

[QUOTE=RiC]А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.[/QUOTE]
Полагаю, что пока рановато перезаливать - и глюки есть, и непотопляемость не повысилась. :)

Несколько замечаний:
1) Переключатель "Блокировать работу RootKit" не должен быть доступен при выключенном переключателе "Детектировать RootKit".
2) Если запустить скрипт через bat файл, то в AVZ появляется кнопка "Прервать работу скрипта", если же запустить скрипт прямо из AVZ через "Файл" -> "Выполнить скрипт", то такая кнопка не появляется.
3) При запуске скрипта в протокол ничего об этом не пишется. А по-моему стоило бы писать хотя бы о начале и завершении выполнения скрипта и его имя/путь. Что-то вроде
"Запущен скрипт С:\files\script1.avz"
...
"Выполнение скрипта завершено".

Внесу свою лепту:

При расширении окон, кнопочки двигаются:)

[ATTACH]1678[/ATTACH]

[QUOTE=Campri]Внесу свою лепту:
При расширении окон, кнопочки двигаются:)
[/QUOTE]

Заскучали, видать... застоялись! :)

[QUOTE]впрочем, он убивается даже (!!!) стандартным виндовым Task Manager-ом[/QUOTE]
Это как? У меня не выходит

[QUOTE=Geser]Это как? У меня не выходит[/QUOTE]
Примерно так... По пунктам:
1. Запускаем 'Диспетчер задач Windows' (Task Manager, если не по-нашему) тремя бубками (Ctrl-Alt-Esc).
2. Стартуем AVZ, включаем в нем режим AVZGuard, в появившемся диалоге подтверждаем, т.е. жмем 'OK'. При этом все приложения, кроме AVZ, автоматом становятся недоверенными - т.е. им ничего "криминального" делать не разрешено.
3. В 'Диспетчере задач Windows' выбираем закладку 'Приложения', находим там пункт 'Антивирусная утилита AVZ', выделяем его и нажимаем кнопку 'Снять задачу' в правом нижнем углу 'Диспетчера...'.
4. Все - AVZ бесследно исчезает. Драйвер AVZGuard, естественно, остается активным... но какой с него толк, если нет самого AVZ? :)
5. Ввиду невозможности продолжить работу (ничего нового не стартует, а старое заблокировано) остается только перегрузиться...

[QUOTE=aintrust]Примерно так... По пунктам:
1. Запускаем 'Диспетчер задач Windows' (Task Manager, если не по-нашему) тремя бубками (Ctrl-Alt-Esc).
2. Стартуем AVZ, включаем в нем режим AVZGuard, в появившемся диалоге подтверждаем, т.е. жмем 'OK'. При этом все приложения, кроме AVZ, автоматом становятся недоверенными - т.е. им ничего "криминального" делать не разрешено.
3. В 'Диспетчере задач Windows' выбираем закладку 'Приложения', находим там пункт 'Антивирусная утилита AVZ', выделяем его и нажимаем кнопку 'Снять задачу' в правом нижнем углу 'Диспетчера...'.
4. Все - AVZ бесследно исчезает. Драйвер AVZGuard, естественно, остается активным... но какой с него толк, если нет самого AVZ? :)
5. Ввиду невозможности продолжить работу (ничего нового не стартует, а старое заблокировано) остается только перегрузиться...[/QUOTE]
Мда, и правда работает :)

[QUOTE=Geser]Мда, и правда работает :)[/QUOTE]
Это работает - я и не давил такую возможность. AVZ получает от диспетчера предложение завершить работу и корректно реагирует :) Давить это нужно не на уровне драйвера, а на уровне самого AVZ, сейчас я это придавлю.

[QUOTE=Campri]Внесу свою лепту:

При расширении окон, кнопочки двигаются:)

[ATTACH]1678[/ATTACH][/QUOTE]
Баг однако :) Исправлено, спасибо ...
[B]to kps[/B]
1. - исправлено, 2 - исправлено, 3 - исправлено

[QUOTE=Зайцев Олег]Это работает - я и не давил такую возможность. AVZ получает от диспетчера предложение завершить работу и корректно реагирует :) Давить это нужно не на уровне драйвера, а на уровне самого AVZ, сейчас я это придавлю.[/QUOTE]
:) Точно так же "предложение завершить работу" AVZ может получить от любого недоверенного приложения - и отреагирует аналогично, т.е. тихо и "корректно" скончается. Правда, слово "корректно" в данном аспекте вряд ли применимо, т.к. в случае действительно корректного завершения AVZ еще дополнительно спрашивает, не отключить ли режим AVZGuard. А драйвер "защиты" тут действительно не при чем - это, похоже, явная ошибка дизайна самого AVZ, и сколько еще таких ошибок можно найти, немного повозившись с ним - кто знает? :).

А что касается непосредственно ошибок драйвера, то их еще предстоит исправить - я уже писал об этом намедни... да и проблема с синькой в avzsg.sys также периодически проявляется. На самом деле "проблема" тут только одна - почти полное отсутствие серьезного бета-тестирования продукта, т.е. не на уровне пользователя, пусть даже очень "продвинутого", а на уровне серьезных системщиков и спецов по защите информации. Можно спросить так: "А кому из таковых спецов этот продукт реально нужен"? Ответ, к сожалению, совсем не прост... :(

Мы с Олегом (он не даст соврать) периодически обсуждаем эту проблему с позиционированием AVZ (точнее, с отсутствием точного позиционирования). На мой взгляд, отсюда все и растет. Продукт в одном лице не может удовлетворить нужды и "домохозяйки", и серьезного спеца по защите - и тут надо прибиваться к какому-то берегу, иначе и дальше все будет так, как сейчас...

[QUOTE]и сколько еще таких ошибок можно найти, немного повозившись с ним - кто знает?[/QUOTE]
А для этого и существуют бета-тестеры :)

[quote=aintrust]Продукт в одном лице не может удовлетворить нужды и "домохозяйки", и серьезного спеца по защите - и тут надо прибиваться к какому-то берегу, иначе и дальше все будет так, как сейчас...[/quote]

Золотые слова! Говорю как специалист по позиционированию...

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
-------------------------------------------------------------------
Обясните.
Как понимать такую запись?
Это говорит о заражении файла?

[QUOTE=kozakoff]Как понимать такую запись?
Это говорит о заражении файла?[/QUOTE]
нет.

[QUOTE=kozakoff]1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
-------------------------------------------------------------------
Обясните.
Как понимать такую запись?
Это говорит о заражении файла?[/QUOTE]
Это говорит об положении таблицы экспорта имён библиотек в файле, если сказать по простому это говорит о том что указанные системные файлы в порядке и один из нескольких тестов системы на вшивость завершился удачно (в смысле ничего подозрительного не найдено).

Спасибо за ликбез.

было бы неплохо сделать всплывающие подсказки в диспетчерах служб, процессов и др. там где описание или путь к файлу. Просто строка бывает достаточно длинной и нужно скроллить и растягивать окно, чтобы все увидеть - а так навел мышой и все видно

[QUOTE=kozakoff]
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
-------------------------------------------------------------------
Обясните.
Как понимать такую запись?
Это говорит о заражении файла?[/QUOTE]

to Олег
По-моему вот эту информацию по умолчанию не стоит писать в протокол, т.к. она может смутить неопытного пользователя. Думаю, лучше добавить в настройки возможность вести детальный или "нормальный" протокол.

[QUOTE=aintrust]
Мы с Олегом (он не даст соврать) периодически обсуждаем эту проблему с позиционированием AVZ (точнее, с отсутствием точного позиционирования). На мой взгляд, отсюда все и растет. Продукт в одном лице не может удовлетворить нужды и "домохозяйки", и серьезного спеца по защите - и тут надо прибиваться к какому-то берегу, иначе и дальше все будет так, как сейчас...[/QUOTE]
Мнение неспециалиста по безопасности. Может быть, Олегу имеет смысл вести разработку монитора совместно с rav, поскольку идеи AVZGuard в чем-то близки к DefenseWall. Если AVZ позиционируется как инструмент уничтожения вредоносных программ определенного типа, думаю лучше использовать подобный монитор именно на время лечения системы, отключив "промышленный" антивирусный монитор, если он присутствует. По крайней мере, на определенном этапе развития АВЗ.

оффтопик, но... что-то мне подсказывает, что АВЗ еще долго не станет коммерческим продуктом ;-)

Интересно, но в новой версии опять 25...
--
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась
--
Пару минут назад "произвелась", а через некоторое время, при проверке другой папки, не производилась...

[QUOTE=santy]Может быть, Олегу имеет смысл вести разработку монитора совместно с rav, поскольку идеи AVZGuard в чем-то близки к DefenseWall.[/QUOTE]
Близка, но не совсем. AVZ призван работать на заражённом компьютере и защищаться от внедрения в себя и модификации системы во время лечения. DefenseWall же работает на заведомо чистой машине, защищая её от заражения извне. То есть задачи AVZGuard и DefenseWall диаметрально противоположны. Соответственно, и средства их достижения также различны.

[QUOTE=aintrust]Впрочем, если говорить об AVZGuard vs AVZMonitor, то ты знаешь мое мнение - я не сторонник методов лечения пост-фактум, т.к., на мой взгляд, это пустая трата времени - после такого лечения нет никакой уверенности в том, что у тебя на компьютере чего-нибудь не осталось из живности.[/QUOTE]

Об этом можно поспорить. Имхо AVZ это как раз и есть инструмент для лечения компьютера пост-фактум и для этой цели утилита и применяется, что очень легко увидеть, заглянув в раздел "Помогите". Там многие, кто просил помощи в лечении уже зараженного компа, убедились, что это не пустая трата времени.
Конечно, надо "предохраняться", но тут есть один момент: даже предохраняясь есть шанс попадания вредоносного ПО на компьютер, т.к. 100%-ной защиты быть не может. И вот тут придется лечить комп пост-фактум :)

[QUOTE=aintrust]
Поэтому - [U]только монитор[/U], и чем скорее, тем лучше!!! :)
[/QUOTE]
А по-моему AVZGuard нужнее монитора.
Разве не достаточно монитора хорошего антивируса (KAV, DrWeb, BitDefender, NOD), к-рому AVZ уступает в кол-ве детектируемых сигнатурным методом вредоносных программ?
А если нужен постоянный контроль над недоверенными процессами, разве недостаточно DefenseWall ?
По-моему AVZ это утилита именно для лечения уже зараженного компа, к-рая имеет много полезных инструментов и методов борьбы с вредоносным ПО и монитор ей не особо нужен.

Все это только мое мнение, конечно.

[QUOTE=kps]
По-моему AVZ это утилита именно для лечения уже зараженного компа, к-рая имеет много полезных инструментов и методов борьбы с вредоносным ПО и монитор ей не особо нужен. [/QUOTE]

+=1