О технологии

О технологии

Previous pageReturn to chapter overviewNext page

Технология Boot Cleaner основана на KernelMode Boot драйвере, который выполняет заданную последовательность операций в момент загрузки системы. После выполнения заданных операций драйвер автоматически самоуничтожается. Основное назначение - борьба с трудноудаляемыми вредоносными программами, пересоздающими свои ключи реестра и файлы, или блокирующие доступ к ним. Драйвер системы Boot Cleaner размещен в AV базе и обновляется в ходе автоматического обновления.

 

Назначение:

Удаление файлов

Удаление ключей реестра

Удаление драйверов и служб

Перечисленные операции выполняются в ходе загрузки системы.

 

Boot Cleaner является альтернативой отложенному удалению по ряду причин:

1. В Boot Cleaner предусмотрена возможность ведения протоколов. В протоколе отмечаются все выполняемые операции и фиксируется код статуса (0 - успешно, >0 - код ошибки)

2. Выполнение сценария Boot Cleaner происходит на раннем этапе загрузки системы, что повышает его эффективность

3. Boot Cleaner может удалять ключи реестра (и в частности драйверы и службы), в то время как отложенное удаление позволяет оперировать только с файлами.

 

Совместимость

Драйвер Boot Cleaner может применяться совместно с антируткитом, системами AVZ Guard и AVZ PM,  а так-же с антивирусными мониторами и HIPS системами других производителей.

 

Управление системой

Управление системой производится средствами скриптового языка AVZ.

Набор команд и примеры подробно описаны в разделе Управление Boot Cleaner

 

Протоколы

В процессе работы BootCleaner может формировать текстовые протоколы. Имя и местоположение протокола задается пользователем при помощи команды. Рассмотрим пример скрипта (на момент выполнения скрипта в системе установлен драйвер PE386 и в папке Windows существует файл trojan1.exe):

begin

// Постановка задания

BC_DeleteSvc('PE386');

BC_DeleteFile('%Windir%\trojan1.exe');

BC_DeleteFile('%Windir%\trojan2.exe');

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Активация

BC_Activate;

// Перезагрузка

RebootWindows(true);

end.

 

После перезагрузки будет сформирован протокол:

-- AVZ Boot cleaner log --

DeleteFile \??\C:\WINDOWS\trojan1.exe - succeeded

DeleteFile \??\C:\WINDOWS\trojan2.exe - failed (0xC0000034)

Delete File \??\C:\WINDOWS\system32:lzx32.sys - succeeded

Delete Service & File PE386 - succeeded

-- End --

 

Структура протокола достаточно проста - в каждой строке указывается операция, имя обрабатываемого в ходе операции объекта и статус. Возможно два статуса:

 

succeeded - операция выполнена успешно

failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки.

 

Boot Cleaner позволяет удалять службы и драйверы, содержащие в имени символы с кодом 0 и любые Unicode символы. При формировании протокола символ с кодом 0 заменяется на "*", а не имеющие аналогов в ANSI Unicode символы заменяются на знаки "?"

 

Удаление файлов, ключей реестра, драйверов и служб при помощи Boot Cleaner может нанести существенный вред системе, поэтому применяйте Boot Cleaner только если Вы уверены в правильности своих действий !