AVZ 4.32

[VV2006]

Приглядел два интересных специализированных ключика AVZ: AG=Y и AM=Y.

В плане соревнования "двух противоположностей" (кто чью форточку закроет) и учитывая возможности AVZ+RunScanner, в принципе да, наверное можно написать скрипт для удалённой системы, предусматривающий при очередном нормальном запуске системы автозапуск AVZ в режиме AVZGuard: всем стоять, бояться, делать только что я скажу!

Кстати, запускать его можно было бы как из PE, так и из нормальной системы, если в ней не залочена работоспособность командной строки.

[Arakcheev]

А откуда уверенность что локер не запущен таким же образом, да еще может и по таймеру такое делает со своим окном?

Все может быть. Но это же можно сделать и в AVZ, да и AVZGuard никто не отменял.

[gjf]

RTFM!

Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера.
AVZ, (C) Зайцев О.В., http:

Если повезёт и AVZ запустится раньше зловреда - это да, поможет. Только ветки Run реестра, а также тем более Автозапуск стартуют позже localsystem-служб, внедряемых библиотек, userinit и уж точно драйверов. В таком случае зловред прибьёт AVZ ещё до того, как тот поставит AVZGuard.

[Arakcheev]

Варианты:
1) Переименовывать файл AVZ
2) Убрать из заголовка окна строку с AVZ (самый лучший вариант НАРИСОВАТЬ строку - CureIT делает именно это)

[VV2006]

gjf

В таком случае зловред прибьёт AVZ ещё до того, как тот поставит AVZGuard.

Попробовать в любом случае можно, ведь не все зловреды настолько ушлые. А на случай, если правило "кто первый встал - того и тапочки" будет не в пользу AVZ, как раз и пригодился бы скрипт загрузки его KernelMode-драйвера в удалённую системы из-под WinPE.
В принципе всё решаемо и в WinPE, это всего лишь вопрос времени и удобств.

[gjf]

При чём здесь заголовок окна и имя файла?
Сравниваем avz.exe (полиморф):

и HiJackThis:

Почему первый лочит, а второй - почти никогда - теперь понятно?

[djshkiper]

Мне попадались те, которые лочат по имени файла или заголовка любогоактивного окна, даже будь то проводник. От запаковки ресурсов ничего не измениться - можете проверить. Заголовок надо убирать или делать как IceSword, например - произвольная генерация при каждом запуске.

[gjf]

AM=[Y|N] - включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32
AVZ, (C) Зайцев О.В., http:

HiddenMode=[0|1|2|3] - режим запуска графической оболочки AVZ:
0 - Стандартный режим, окно видимо и доступно пользователю
1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.
2 - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ
3 - Окно AVZ невидимо, иконка в трее не отображается.

Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.
AVZ, (C) Зайцев О.В., http:

Проблема в том, что иногда идёт проверка именно по именам ресурсов.

[neo4511]

Да хорошо бы было, еслиб AVZ можно запускался через KernelMode-драйвер в удалённую системы из-под WinPE. И при включённом AVZGuard блокировал всех зловредов.

[Flooter]

Прошу прощения если оффтоп, перенесите тогда плз куда нужно...

Подскажите, как заставить АВЗ просканировать диск и выдать список ТОЛЬКО файлов, не присутствующих в списках "безопасные" ?

[Зайцев Олег]

Прошу прощения если оффтоп, перенесите тогда плз куда нужно...

Подскажите, как заставить АВЗ просканировать диск и выдать список ТОЛЬКО файлов, не присутствующих в списках "безопасные" ?

Элементарно. Меню "сервис", там "поиск файлов на диске", в окне поиска:
- задать, где искать (дерево слева)
- указать маски поиска (типовые примеры можно выбрать из списка)
- задать диапазон размеров и фильтр по датам (это по необходимости)
- поставить птички "Исключить файлы, ..."
и нажать Пуск. Все найденные файлы - это то, что не опознается системой и самим AVZ как легитимное и удовлетворяет прочим заданным условиям.

[aintrust]

...
AM=[Y|N] - включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками.
...

Да-да, этот ключ включает именно "базовую" защиту. Преодолевается такая защита очень просто, в нескольких строчках кода.

...
3 - Окно AVZ невидимо, иконка в трее не отображается.
...

Если окно невидимо, это не означает, что его нет вовсе! Оно точно так же присутствует в системе, как и любое другое окно, и ищется точно так же! С точки зрения зловреда совершенно не важно, видимо оно или нет - найти его не представляет никакого труда.

[Зайцев Олег]

Да-да, этот ключ включает именно "базовую" защиту. Преодолевается такая защита очень просто, в нескольких строчках кода.

Если окно невидимо, это не означает, что его нет вовсе! Оно точно так же присутствует в системе, как и любое другое окно, и ищется точно так же! С точки зрения зловреда совершенно не важно, видимо оно или нет - найти его не представляет никакого труда.

Еще как важно - многие вымогатели столь примитивны, что не умеют енумерировать окна. Они либо тупо смотрят, какое окно сейчас видимо (обычно проверяя запрос заголовка Foreground окна), или в цикле просто делают свое окно видимым и размещенным поверх остальных. Первое лечится прятаньем своего окна - тогда на поверхности будет окно блокера, второе - созданием своего собственного пустого десктопа для своего окна. Естественно, что это мера от сверхпримитивных блокеров - окна нетрудно енумерировать и найти скрытое окно, равно как и несложно искать посторонние десктопы ... и прибить программу с такими "фокусами маскировки" можно в 3-5 строчек кода. Если такое появится скажем в AVZ, блокеры тут-же начнут с этим бороться - так что это не выход

[aintrust]

Да, конечно...

[VV2006]

Зайцев Олег, так всё-таки что, получается при работе в заражённой системе действенных способов заставить перекрывающее окно зловреда "стоять, бояться" нет? Ну, кроме деактивации зловреда из-под WinPE? AVZGuard даст запуститься "вражескому" окну, если AVZ прописать в загрузку первым? И, главное, как правильно прописать такую загрузку?

[Зайцев Олег]

Зайцев Олег, так всё-таки что, получается при работе в заражённой системе действенных способов заставить перекрывающее окно зловреда "стоять, бояться" нет? Ну, кроме деактивации зловреда из-под WinPE? AVZGuard даст запуститься "вражескому" окну, если AVZ прописать в загрузку первым? И, главное, как правильно прописать такую загрузку?

Методы есть - окно можно прибить вместе с приложением, сдвинуть в другой десктоп, сделать прозрачным наконец ... но на каждую такую миру есть контрмера и главная пробелма в том, как пользоватею запустить такой чудо - разблокиратор, если у него ПК заблокирован

[Биомеханик]

А можно из под WinPE при помощи AVZ восстановить безопасный режим "большой системы". Ну или сделать тестовый запуск (как через msconfig)? Или убрать из авто запуска "большой системы" все что не прошло по базе безопасных?

[VV2006]

Биомеханик, восстановить из WinPE безопасный режим "большой системы" можно, выполнив соответствующий (10.) скрипт AVZ для удалённой системы. Загрузку в безопасном режиме при следующем запуске этой системы можно включить, отредактировав соответствующим образом Boot.ini.

Из WinPE можно многое сотворить с удалённой (неактивной) системой, в частности: отключать, включать службы, выгружать, менять статус загрузки у драйверов или удалять их, восстанавливать кусты реестра из имеющихся точек восстановления, редактировать автозагрузку и мн.др.

[santy]

VV2006, в реестре какой системы: C или X, скрипт (10) АВЗ будет восстанавливать загрузку Safe Mode? (в X, он, конечно, не сможет ничего записать.) Зайцев Олег, насколько сложно в АВЗ сделать фильтрацию записей реестра, чтобы выделить записи загрузочной или удаленной (обнаруженной) системы? Можно ли по отфильтрованным записям выполнить исследование системы, с тем чтобы создать скрипт и запустить его на исполнение с последующей перезагрузкой системы, убрав загрузку с WinPe? Будет ли работать Gmer с диска WinPE запущенный через Runscanner как АВЗ?

[VV2006]

santy, насчёт восстановления Safe Mode и вообще, изменений, вносимых в реестр удалённой системы ещё раз повторю: при запуске в WinPE программ с удалённым реестром (через RunScanner) все изменения в реестре применяются для удалённой системы.