Поиск файлов на диске

Поиск файлов на диске

Previous pageReturn to chapter overviewNext page

Для поиска файлов на диске в AVZ встроена специальная сервисная функция, вызываемая из меню "Сервис / Поиск файлов на диске". Поиск файлов средствами AVZ имеет ряд преимуществ над системным поиском по ряду причин:

Система поиска файлов AVZ защищена встроенной в AVZ системой противодействия RootKit - это с сущности основная причина, по которой в AVZ встроена система поиска файлов. Маскировка процессов в памяти и файлов на диске присуща многим современным троянским программам, производится эта маскировка как правило перехватом API. В результате системные средства поиска позволят обнаружить на диске маскируемые файлы(и соответственно не позволят скопировать их для отправки на анализ).

Система поиска файлов связана с карантином AVZ - любой из найденных файлов может быть скопирован в карантин;

Поиск производится независимо от расширения файла, его местоположения и атрибутов - системные средства поиска часто при поиске показывают не все файлы (это особенно важно для системных папок типа Downloaded Program Files)

 

 

Для выполнения поиска необходимо отметить диски (или папки) в древовидном списке дисков и папок "Область поиска". Меню, вызываемое по правой кнопке мыши над проводником "Область поиска", позволяет быстро отметить жесткие диски, дисководы и CD ROM. После задания области поиска необходимо указать имя файла или маску. Можно указать несколько имен файлов или несколько масок, перечисляя их через пробел, запятую или точку с запятой. Можно сочетать имена файлов и маски.

 

Примеры:

*.* - поиск всех файлов

*.exe - поиск файлов с расширением exe

dialer.exe - поиск файла с конкретным именем "dialer.exe"

dialer.exe, *.dll, trojan*.sys - поиск файлов с именем dialer.exe или файлов с любым именем и расширением DLL или файлов с именем Trojan<любые символы>.sys

*.exe, *.dll, *.sys, *.ocx - поиск файлов с указанными расширениями

 

В маске можно использовать стандартные символы * (на месте * могут встречаться любые символы в любом количестве) и ? (любой символ в заданной позиции).

 

Пример:

Trojan.ex? - этой маске к примеру могут соответствовать файлы Trojan.exe и Trojan.ex_

Маска является обязательной (для поиска файлов с любым именем необходимо указать маску *.*).

 

Кроме маски можно задать ряд условий поиска - размер, дату создания, дату модификации. Для включения условия необходимо установить переключатель, выбрать тип условия их списка и заполнить параметры в полях. Если параметр заполнен неправильно, то он подчеркивается красной волнистой линией и поиск блокируется. При наведении курсора мыши на некорректное поле выводится всплывающая подсказка, поясняющая причину ошибки.

 

Особого внимания заслуживает опция фильтра "Исключить файлы, известные AVZ как системные и безопасные". Включение данного переключателя приводит к тому, что каждый файл, соответствующий всем прочим условиям поиска проверяется по базе известных AVZ безопасных и системных файлов. Опознанные по базе безопасные файлы исключаются из результатов поиска. Это, как правило, очень существенно сокращает количество найденных файлов. Данный режим фильтрации очень удобен для поиска вирусов и SpyWare - можно задать маску поиска "*.exe *.dll", указать папку Windows, задать диапазон дат (как правило имеет смысл искать файлы, созданные за последний месяц от момента появлении проблем с ПК) и  включить опцию "Исключить файлы, известные AVZ как системные и безопасные"

 

Поиск запускается при нажатии кнопки "Пуск". Для остановки поиска применяется кнопка "Стоп". Результаты поиска выводятся в протокол (закладка "Протокол") и в таблицу (Закладка "Найденные файлы"). В таблице отображаются основные параметры найденных файлов, любой из файлов можно отметить при помощи переключателя перед его именем. Отмеченные файлы можно скопировать в карантин или удалить (эти операции выполняются при нажатии соответствующих кнопок под списком).

 

На заметку:

У таблицы найденных файлов есть меню, вызываемое по правой кнопке мыши. Данное меню позволяет отметить все найденные файлы, снять и инвертировать отметку.