О технологии

О технологии

Previous pageReturn to chapter overviewNext page

Технология AVZGuard основана на KernelMode драйвере, который разграничивает  доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудаляемыми вредоносными программами, которые активно противодействуют процессу лечение компьютера.

В момент активации все приложения делятся на две категории - доверенные и не доверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как не доверенным запрещаются следующие операции:

 

Создание, модификация и удаление параметров реестра

Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске

Обращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip

Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)

Установка драйверов (является следствием блокировки работы с реестром)

Запуск процессов

Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство

Открытие потоков других процессов (при этом не доверенному процессу не запрещается открывать и останавливать свои потоки)

 

Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. Запускаемое таким образом приложение получает статус доверенного. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

 

Назначение:

Основным назначением системы является:

Борьба с трудноудаляемыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют  своему удалению. Это основное назначение системы;

Защита доверенных приложений от недоверенных. Позволяет защитить AVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;

Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п. не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.

 

Рекомендации:

Перед включением системы необходимо закрыть все приложения кроме AVZ. Это важный момент, поскольку все запущенные приложения в момент запуска начнут считаться недоверенными и это может заблокировать их работу. На самом деле экспериментально установлено, что большинство приложений сохраняют свою функциональность, так как не совершают блокируемых системой действий. В частности, Internet Explorer, Outlook Express, TheBat продолжают нормально работать в качестве недоверенных приложений;

Особенностью блокировки операций с реестром является то, что операция блокируется, но приложение получает статус успешного выполнения и считает, что реестр был изменен. Это сделано специально для совместимости с рядом программ, которые в случае ошибки записи в реестр начинают работать неадекватно. Логику этой блокировки легко изучить при помощи Regedit - его необходимо запустить до включения AVZGuard, далее включить AVZGuard, и c помощью RegEdit изменить значение какого-либо ключа реестра. С точки зрения regedit операция пройдет успешно, но если обновить данный при помощи F5, то можно убедиться, что реестр не изменился.

В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские потоки и т.п.

Управление AVZGuard идет из контекста утилиты AVZ, в случае завершения работы AVZ контроль над AVZGuard будет потерян и он будет функционировать автономно до перезагрузки.

Система AVZGuard может многократно включаться/отключаться в процессе работы с AVZ по мере необходимости в ограничении работы запущенных процессов

 

Особенности выключения ПК при включенном AVZGuard

Процесс выключения и перезагрузки при активной системе AVZGuard может занять до 2-3 минут. Это связано с тем, что система не может принудительно закрыть процессы.

Некоторые приложение в момент завершения могут выдавать сообщение о ошибках, связанные с ограничением их деятельности

Сам AVZ невозможно закрыть по Alt-F4 или при помощи кнопки в заголовке окна. Для завершения работы AVZ при активном AVZGuard необходимо применить пункт меню "Файл/Выход"

 

Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после лечение с его использованием. Важно отметить, что AVZGuard не является системой проактивной защиты или антивирусным монитором - активировать его нужно только на время борьбы с трудноудаляемыми malware.