AVZ 5. Руководство пользователя
×

3.1.3. Вкладка 'Параметры поиска'

3.1.3. Вкладка 'Параметры поиска'
1

Регулятор уровня эвристики

AVZ поддерживает 4 уровня эвристического анализа:
· Эвристический анализ отключен. В этом случае обнаруживаются только известные AVZ вредоносные объекты при полном совпадении проверяемого объекта с описанием в базе;
· Минимальный уровень эвристики - в этом режиме AVZ выдает предупреждения при обнаружении объектов, очень похожих на вредоносные;
· Средний уровень эвристики - аналогичен  минимальному, но порог срабатывания ниже. Это рекомендуемый режим работы, в котором уровень ложных срабатываний обычно не превышает 10-15%;
· Максимальный уровень эвристики - этот режим часто называют "параноидальным", так как предупреждения о подозрении на malware выдаются даже при обнаружении отдаленного сходства проверяемого объекта с вредоносным. В этом режиме возможны многочисленные ложные срабатывания.
2

Флажок "Расширенный анализ"

Доступен только при установке максимального уровня эвристики, по умолчанию отключен. Включение данного переключателя задействует дополнительные проверки, которые позволяют обнаруживать подозрительные объекты по второстепенным признакам типа двойного расширения, наличия в имени большого количества пробелов перед расширением, использование идентичных по начертанию букв различных алфавитов и т.п.
Расшифровка основных сообщений эвристического анализатора приведена в разделе Эвристический анализатор AVZ;
3

Флажок "Детектировать перехватчики API и RootKit"

Управляет детектором RootKit, который пытается обнаружить присутствие в системе RootKit по характерным для него признакам в виде перехвата функций или маскировки объектов. Детектор является пассивным анализатором, блокировка и нейтрализация перехватов выполняется только при включении "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode".
4

Флажок "Блокировать работу RootKit User-Mode"

Доступен только при включенном переключателе "Детектировать RootKit" и позволяет включить систему активного противодействия RootKit User-Mode путем снятия и нейтрализации перехватов. Данная операция не оказывает глобального влияния на систему, по этой причине перезагрузка не требуется. При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.
5

Флажок "Блокировать работу RootKit Kernel-Mode"

Доступен только при включенном переключателе "Детектировать RootKit" и позволяет включить систему активного противодействия RootKit Kernel-Mode. Следует отметить, что включение противодействия подобным RootKit может привести к непредсказуемым последствиям и нужно быть готовым к зависанию программы AVZ и системы в целом. Поэтому перед активацией противодействия необходимо закрыть все программы, желательно отключится от сети, выгрузить антивирусный монитор и Firewall.
При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.
Система AVZGuard и антируткит режима ядра являются взаимоисключающими, при включении AVZGuard нейтрализация руткитов в режима ядра отключается. 
6

Флажок "Проверять настройки SPI / LSP"

Включает анализатора настроек SPI (который более известен как LSP благодаря утилите LSP Fix). Настройки SPI модифицируют многие современные вредоносные программы, типовые проявлением поврежденной настройки является появление сбоев при работе в Интернет.  При включенном флажке  проверка производится автоматически и все найденные проблемы и ошибки выводятся в протокол.
7

Флажок "Автоматически исправлять ошибки в SPI/LSP"

Имеет смысл и доступен при включенном режиме "Проверять настройки SPI / LSP". Установка флажка "Автоматически исправлять ошибки в SPI/LSP" позволяет включить систему автоматического исправления найденных ошибок - исправление ошибок производится в автоматическом режиме и не требует от пользователя понимания тонкостей работы  SPI. Начиная с версии AVZ 4.26 в случае обнаружения ошибок перед их исправлением AVZ автоматически создает резервную копию настроек SPI в папке BackUp. Резервная копия является стандартным REG файлом, который может быть импортирована в реестр в случае необходимости.
На заметку: Для устранения ошибок в ручном режиме рекомендуется использовать Менеджер Winsock SPI (LSP, NSP, TSP).
На заметку: На серверах крайне не рекомендуется включение автоматического устранения ошибок!
8

Флажок "Поиск портов TCP/UDP троянских программ"

Переключатель "Поиск портов TCP/UDP троянских программ" включает автоматический анализ списка открытых портов TCP и UDP. В составе AVZ имеется специальная база, в которой описаны несколько сотен портов, применяемых распространенными троянскими программами, Backdoor и вирусами. При обнаружении открытых портов, описанных данной базе, в протокол выводится предупреждение с указанием номера порта и списка вредоносных программ, применяющих данный порт. Открытые порты TCP и UDP можно также просмотреть в окне "Открытые порты TCP/UDP"
9

Флажок "Поиск клавиатурных перехватчиков (Keylogger)"

Переключатель "Поиск клавиатурных шпионов (Keylogger)" позволяет включить детектор клавиатурных шпионов и троянских DLL (под троянской DLL понимается библиотека, внедряемая в адресное пространство запущенных процессов). Поиск ведется без применения механизма сигнатур, в результате чего результаты носят вероятностный характер. Для оценки степени похожести обнаруженных библиотек на клавиатурный шпион (KeyLogger) применяется нейросеть, распознающая характерные особенности клавиатурного перехватчика. Кроме того, AVZ производит поведенческий анализ всех заподозренных библиотек и выводит собранную информацию в протокол.
 
На заметку: Анализатор AVZ и нейросеть в состоянии найти подозрительные библиотеки и оценить степень их похожести на типовые перехватчики событий оконных событий, событий клавиатуры и мыши (т.н. hook). Однако анализатор не может отличить вредоносный перехватчик (предназначенный для слежения за пользователем) и перехватчик, выполняющий полезные действия.
 
10

Флажок "Автоматически исправлять системные ошибки"

Переключатель "Автоматически исправлять системные ошибки" включает режим автоматического устранения опасных системных ошибок. Поиск системных ошибок ведется в ходе сканирования системы, на шаге 9. По умолчанию данный переключатель отключен, поэтому поиск ошибок ведется, информация об ошибках записывается в протокол, но они не устраняются. Следует учитывать, что помимо автоматического устранения ошибок можно применять мастер поиска и устранения проблем, который позволяет вручную выбрать, какие конкретно из найденных проблем следует исправить. В ходе автоматического устранения системных ошибок ведется запись проделанных изменений, позволяющая откатить эти изменения в случае необходимости через мастер поиска и устранения проблем.
 
На заметку:
В случае проверки системы с нейтрализацией Kernel-Mode RootKit необходимо перезагрузиться после завершение проверки и лечения, а перед проверкой закрыть все приложения и сохранить открытые документы!! Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций - в этом случае AVZ указывает на необходимость перезагрузки в конце протокола.