Закладка "Параметры поиска"

Закладка "Параметры поиска"

Previous pageReturn to chapter overviewNext page

Закладка "Параметры поиска" позволяет настроить параметры поиска:

Группа "Эвристический анализ" содержит регулятор уровня срабатывания эвристики. AVZ поддерживает 4 уровня эвристического анализа:

Эвристический анализ отключен. В этом случае обнаруживаются только известные AVZ вредоносные объекты при полном совпадении проверяемого объекта с описанием в базе;

Минимальный уровень эвристики - в этом режиме AVZ выдает предупреждения при обнаружении объектов, очень похожих на вредоносные;

Средний уровень эвристики - аналогичен  минимальному, но порог срабатывания ниже. Это рекомендуемый режим работы, в котором уровень ложных срабатываний обычно не превышает 10-15%;

Максимальный уровень эвристики - этот режим часто называют "параноидальным", так как предупреждения о подозрении на вирус выдаются даже при обнаружении отдаленного сходства проверяемого объекта с вредоносным. В этом режиме возможны многочисленные ложные срабатывания. При установке максимального уровня эвристики становится доступным переключатель "Расширенный анализ". Включение данного переключателя задействует дополнительные проверки, которые позволяют обнаруживать подозрительные объекты по второстепенным признакам типа двойного расширения, наличия в имени большого количества пробелов перед расширением и т.п. Расшифровка основных сообщений эвристического анализатора приведена в разделе Эвристический анализатор AVZ;

 

 

Группа "RootKit"

Группа "RootKit" содержит настройки системы обнаружения и блокирования RootKit. Переключатель "Детектировать RootKit" позволяет включить детектор RootKit, который пытается обнаружить присутствие в системе RootKit по характерным для него признакам. Следует отметить, что возможны своего рода ложные срабатывания - в качестве RootKit могут детектироваться системные утилиты, антивирусные мониторы, Firewall. Это нормальное явление, т.к. подобные программы и утилиты вмешиваются в работу других приложений и искажают работу стандартных API функций.

Переключатель "Блокировать RootKit" доступен только при включенном переключателе "Детектировать RootKit" и позволяет включить систему активного противодействия RootKit. Следует отметить, что включение противодействия RootKit может привести к непредсказуемым последствиям и нужно быть готовым к зависанию программы AVZ и системы в целом. Поэтому перед активацией противодействия RootKit необходимо закрыть все программы, желательно отключится от сети, и затем выгрузить антивирусный монитор и Firewall.

 

При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.

 

Система AVZGuard и антируткит режима ядра являются взаимоисключающими, при включении AVZGuard нейтрализация руткитов в режима ядра отключается.

 

На заметку:

В случае проверки системы с нейтрализацией Kernel RootKit необходимо перезагрузиться !! Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций - в этом случае AVZ указывает на необходимость перезагрузки в конце протокола.

 

Группа "Winsock  Service Provider"

Группа "Winsock  Service Provider" позволяет настроить работу системы проверки и настройки анализатора SPI (который более известен как LSP благодаря утилите LSP Fix). Настройки SPI модифицируют многие современные вирусы и SpyWare, типовые проявлением повреждения настроек является появление сбоев при работе в Интернет.  Переключатель "Проверять настройки SPI / LSP" позволяет включить анализатор настроек - при этом проверка производится автоматически и все найденные проблемы и ошибки выводятся в протокол. Установка переключателя "Автоматически исправлять ошибки в SPI/LSP" позволяет включить систему автоматического исправления найденных ошибок - исправление ошибок производится в автоматическом режиме и не требует от пользователя понимания тонкостей работы  SPI. Начиная с версии 4.26 в случае обнаружения ошибок перед их автоматическим исправлением AVZ автоматически создает резервную копию настроек SPI в папке BackUp. Резервная копия является стандартным REG файлом и может быть импортирована в реестр в случае необходимости.

Для устранения ошибок в ручном режиме рекомендуется использовать Менеджер Winsock SPI (LSP, NSP, TSP).

 

Переключатель "Поиск клавиатурных шпионов (Keylogger)"

Переключатель "Поиск клавиатурных шпионов (Keylogger)" позволяет включить детектор клавиатурных шпионов и троянских DLL (под троянской DLL понимается библиотека, внедряемая в адресное пространство запущенных процессов). Поиск ведется без применения механизма сигнатур, в результате чего результаты носят вероятностный характер. Для оценки степени похожести обнаруженных библиотек на клавиатурный шпион (KeyLogger) применяется нейросеть, распознающая характерные особенности клавиатурного перехватчика. Кроме того, AVZ производит поведенческий анализ всех заподозренных библиотек и выводит собранную информацию в протокол.

 

На заметку: Анализатор AVZ и нейросеть в состоянии найти подозрительные библиотеки и оценить степень их похожести на типовые перехватчики событий оконных событий, событий клавиатуры и мыши (т.н. hook). Однако анализатор не может отличить вредоносный перехватчик (предназначенный для слежения за пользователем) и перехватчик, выполняющий полезные действия.

 

Переключатель "Поиск портов TCP/UDP троянских программ"

Переключатель "Поиск портов TCP/UDP троянских программ" включает автоматический анализ списка открытых портов TCP и UDP. В составе AVZ имеется специальная база, в которой описаны несколько сотен портов, применяемых распространенными троянскими программами, Backdoor и вирусами. При обнаружении открытых портов, описанных данной базе, в протокол выводится предупреждение с указанием номера порта и списка вредоносных программ, применяющих данный порт. Открытые порты TCP и UDP можно также просмотреть в окне "Открытые порты TCP/UDP"

 

Переключатель "Автоматически исправлять системные ошибки"

Переключатель "Автоматически исправлять системные ошибки" включает режим автоматического устранения опасных системных ошибок. Поиск системных ошибок ведется в ходе сканирования системы, на шаге 9. По умолчанию данный переключатель отключен, поэтому поиск ошибок ведется, информация об ошибках записывается в протокол, но они не устраняются. Следует учитывать, что помимо автоматического устранения ошибок можно применять мастер поиска и устранения проблем, который позволяет вручную выбрать, какие конкретно из найденных проблем следует исправить. В ходе автоматического устранения системных ошибок ведется запись проделанных изменений, позволяющая откатить эти изменения в случае необходимости через мастер поиска и устранения проблем.