Вышла новая версия антивирусной утилиты AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner
Страница загрузки http://www.z-oleg.com/secur/avz/download.php
Система учета ошибок, замечаний и предложений: http://www.z-oleg.com/secur/avz/report.php
Архив с утилитой содержит базу вирусов от 29.12.2006 74329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 365 микропрограмм эвристики, 54473 подписи безопасных файлов
Список доработок и модификаций:
[+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и применяется для чистки системы в процессе загрузки компьютера. Управление системой производится при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами, удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации.
[++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры, идентичные параметрам командной строки - все параметры описаны в документации
[+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM
[+] Остановка процесса из KernelMode при активном AVZ PM
[+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ,
работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов
[-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0
[-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов
----------
Немного подробнее о BootCleaner: это драйвер KernelMode, предназначенный для чистки системы. BootCleaner может работать в двух режимах:
1. Без перезагрузки. В этом случае просто производится попытка выполнения указанных операций из режима ядра. В этом слечае в систему устанавливается драйвер BootCleaner, производится его настройка, драйвер выполняет необходимые действия, после чего заверешает работу и самоуничтожается
2. С перезагрузкой. В данном случае драйвер устанавливается в систему как Boot-драйвер и производится его настройка. Затем необходима перезагрузка, в ходе которой драйвер выполнить указанные операции и самоуничтожится.
Управление драйвером производится из скриптов, все команды описаны в документации (раздел 15.20). Пара примеров:
begin
// Добавление в сценарий команды удаления файла
BC_DeleteFile('c:\trojan.exe');
// Активация драйвера
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
В данном случае драйверу ставится задача удалить файл, производится активация системы и перезагрузка. Аналогично с удалением драйверов:
begin
// Добавление в сценарий команды удаления драйвера PE386
BC_DeleteSvc('PE386');
// Настройка протокола
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Активация драйвера
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
В данном примере удаляется драйвер "PE386", и включается протоколирование.
BootCleaner позволяет выполнять слудующие операции:
- удаление файлов
- удаление ключей реестра
- удаление драйверов и служб (поддерживается два режима - удаление из реестра, или реестр + файл)
- отключение драйверов и служб
В именах драйверов и служб поддерживаются Unicode символы и непечатаемые символы, в частности символ с кодом 0
------
В справке новые примеры. В частности, пример построения искателя файлов по именам с внешней базой и подключением AV сканера и базы безопасных файлов AVZ - см. раздел 15.40.11 справки http://www.z-oleg.com/secur/avz_doc/. Там же пример 15.40.10 - типовой пример скрипта убиения зловредов с применением сочетания "AVZGuard + отложенного удаления + эвристической чистка системы + BootCleaner".