[Quantum]

Хотя я крайне негативно отношусь к продуктам лаборатории касперского (карла спермского - в узких кругах ), но тем не менее, разработка Зайцева Олега (из этой же лабы) представляет собой довольно интересный программный продукт для обнаружения SpyWare модулей, руткитов, и прочих вредоносных программ

Код:

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

Микропрограммы эвристической проверки системы. Микропрограммы
проводят поиск известных SpyWare и вирусов по косвенным признакам
- на основании анализа реестра, файлов на диске и в памяти.

Обновляемая база безопасных файлов. В нее входят цифровые подписи
десятков тысяч системных файлов и файлов известных безопасных процессов.
База подключена ко всем системам AVZ и работает по принципу "свой/чужой"
- безопасные файлы не вносятся в карантин, для них заблокировано удаление
и вывод предупреждений, база используется антируткитом, системой поиска
файлов, различными анализаторами. В частности, встроенный диспетчер процессов
выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может
исключать из поиска известные файлы (что очень полезно при поиске на диске
троянских программ);

Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения
сигнатур на основании исследования базовых системных библиотек на предмет
перехвата их функций. AVZ может не только обнаруживать RootKit, но и
производить корректную блокировку работы UserMode RootKit для своего процесса
и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется
на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать
маскируемые процессы, система поиска в реестре "видит" маскируемые ключи
и т.п. Антируткит снабжен анализатором, который проводит обнаружение 
процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд 
особенностей системы противодействия RootKit является ее работоспособность 
в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе
Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих
API функции для маскировки своего присутствия, для искажения работы API
функций или слежения за их использованием). Другой особенностью является 
универсальная система обнаружения и блокирования KernelMode RootKit,
работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2,
Windows 2003 Server, Windows 2003 Server SP1

Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger
и троянских DLL ведется на основании анализа системы без применения базы
сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные
троянские DLL и Keylogger;

Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор,
который позволяет производить исследование подозрительных файлов при помощи
нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.

Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать
настройки, диагностировать возможные ошибки в настройке и произвести
автоматическое лечение. Возможность автоматической диагностики и лечения
полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое
лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется
специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP
распространяется действие антируткита;

Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для
изучения запущенных процессов и загруженных библиотек, запущенных
сервисов и драйверов. На работу диспетчера процессов распространяется
действие антируткита (как следствие - он "видит" маскируемые руткитом
процессы). Диспетчер процессов связан с базой безопасных файлов AVZ,
опознанные безопасные и системные файлы выделяются цветом;

Встроенная утилита для поиска файлов на диске. Позволяет искать файл
по различным критериям, возможности системы поиска превосходят
возможности системного поиска. На работу системы поиска распространяется
действие антируткита (как следствие - поиск "видит" маскируемые руткитом
файлы и может удалить их), фильтр позволяет исключать из результатов поиска
файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде
текстового протокола и в виде таблицы, в которой можно пометить группу файлов
для последующего удаления или помещения в карантин

Встроенная утилита для поиска данных в реестре. Позволяет искать ключи
и параметры по заданному образцу, результаты поиска доступны в виде
текстового протокола и в виде таблицы, в которой можно отметить несколько
ключей для их экспорта или удаления. На работу системы поиска распространяется 
действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи
реестра и может удалить их)

Встроенный анализатор открытых портов TCP/UDP. На него распространяется
действие антируткита, в Windows XP для каждого порта отображается
использующий порт процесс. Анализатор опирается на обновляемую базу 
портов известных троянских/Backdoor программ и известных системных сервисов.
Поиск портов троянских программ включен в основной алгоритм проверки
системы - при обнаружении подозрительных портов в протокол выводятся
предупреждения с указанием, каким троянских программам свойственно 
использование данного порта

Встроенный анализатор общих ресурсов, сетевых сеансов и открытых
по сети файлов. Работает в Win9X и в Nt/W2K/XP.

Встроенный анализатор Downloaded Program Files (DPF) - отображает
элементы DPF, подключен ко всем сситемам AVZ.

Микропрограммы восстановления системы. Микропрограммы проводят
восстановления настроек Internet Explorer, параметров запуска программ
и иные системные параметры, повреждаемые вредоносными программами.
Восстановление запускается вручную, восстанавливаемые параметры
указываются пользователем.

Эвристическое удаление файлов. Суть его состоит в том, что если в ходе
лечения удалялись вредоносные файлы и включена эта опция, то производится
автоматическое исследование системы, охватывающее классы, BHO, 
расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon,
SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически
вычищаются с занесением в протокол информации о том, что конкретно
и где было вычищено. Для этой чистки активно применяется движок
микропрограмм лечения системы;

Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку
архивов и составных файлов. На настоящий момент проверяются архивы
формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT
файлы; CHM архивы

Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в
AVZ начиная с версии 3.75

Скрипты управления. Позволяют администратору написать скрипт,
выполняющий на ПК пользователя набор заданных операций. Скрипты
позволяют применять AVZ в корпоративной сети, включая его запуск
в ходе загрузки системы.

Анализатор процессов. Анализатор использует нейросети и микропрограммы
анализа, он включается при включении расширенного анализа на максимальном
уровне эвристики и предназначен для поиска подозрительных процессов в памяти.

Система AVZGuard. Предназначена для борьбы с трудноудалимыми
вредоносными програмами, может кроме AVZ защищать указанные
пользователем приложения, например, другие антишпионские и
антивирусные программы.

Система прямого доступа к диску для работы с заблокированными файлами.
Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных
системах линейки NT, позволяет сканеру анализировать заблокированные
файлы и помещать их в карантин.

Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для
отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов
для поиска маскирующихся драйверов и обнаружения искажений в описывающих
процессы и драйверы структурах, создаваемых DKOM руткитами.

Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление
файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки
может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

[Для просмотра данной ссылки нужно зарегистрироваться] с обновлёнными базами (31.08.2007)