О технологии

О технологии

Previous pageReturn to chapter overviewNext page

Встроенный в AVZ ревизор диска работает по классической схеме и предполагает выполнение двух операций

Изучение имеющихся на диске файлов и построение базы данных, содержащих информацию о этих файлах.

Сравнение текущего состояния диска с базой данных. Подобное сравнение позволяет обнаружить, какие файлы/папки были созданы, изменены или удалены с момента создания базы

Сравнение может вестись в стандартном режиме (сравниваются размер файла и его контрольная сумма) и скоростном режиме (сравнивается только размер). Скоростной режим удобен для оперативной проверки диска.

 

Особенности:

Ревизор AVZ обладает несколькими особенностями, отличающими его от аналогов:

1. База может размещаться на любом носителе и может храниться где угодно (например, на Flash диске или в сетевой папке). Для достижения такой мобильности в базе хранятся все настройки, необходимые для проведения сравнения.

2. Для одного компьютера можно создать неограниченное количество баз, сформировав несколько "снимков" в разные моменты времени или с разными настройками

3. После формирования база сжимается для экономии места. База с результатами анализа папки Windows системы Windows XP занимает на диске около 60 кб, в реальной системе - 50-150 кб (в среднем получается 10 кб базы на 1000 файлов). Небольшой объем базы позволяет хранить ее на Flash диске

4. Встроенный ревизор AVZ связан с базой безопасных файлов, что позволяет исключать из протокола сравнения файлы, опознанные по базе безопасных AVZ или по каталогу безопасности Microsoft

5. Ревизор защищен встроенным антируткитом AVZ

 

Назначение:

Основным назначением ревизора является:

 

1. Поиск модификаций на диске защищаемого компьютера. Позволяет установить, какие файлы были созданы, изменены или удалены с момент построения базы. Кроме того, регистрируется создание и удаление каталогов.

 

2. Поиск файлов, маскируемых руткитом. Для выполнения данной операции необходимо

2.1 создать базу ревизора, включив в нее системную папку и папки, в которых предполагается наличие руткитов. Построение базы можно вести в быстром режиме для экономии времени)

2.2 выполнить сканирование компьютера с включенным противодействием руткитам

2.3 не выходя из AVZ произвести сравнение текущего состояния с базой, построенной на шаге 2.1.

 

3. Сравнение содержимого некоторой папки на двух идентичных компьютерах

 

Области применения:

1. Периодический контроль состояния ПК. Для этого необходимо создать базу для системного диска и хранить ее в надежном месте. Далее с некоторой периодичностью можно сравнивать текущее состояние диска с базой

2. Поиск руткитов

3. Отслеживание изменений на ПК пользователей в корпоративной сети. В этом случае базы ревизора можно хранить централизованно на сервере или ПК администратора