Чтение протоколов avz
Протокол AVZ – как virusinfo_syscure, так и virusinfo_syscheck – по своей сути не что иное, как результат работы исследования системы, настроенного определенным образом. Разница состоит в том, что Стандартный скрипт 3, генерирующий virusinfo_syscure.zip, не только детектирует, но и нейтрализует перехватчики системных событий UserMode и KernelMode («снимает хуки»); кроме того, AVZ уничтожает обнаруженное по сигнатурной базе вредоносное ПО и отправляет в карантин подозрительные файлы, обнаруженные той или иной эвристической функцией. Стандартный скрипт 2, напротив, не производит в системе никаких изменений и является исключительно средством диагностики.
Протокол AVZ состоит из табличной и текстовой части. Таблицы – это данные абсолютного большинства менеджеров AVZ, собранные в один HTML-файл для комплексного изучения; текст – протокол обычного сканирования, которое AVZ выполняет перед исследованием системы. Кроме того, в конце протокола располагаются текстовые поля для формирования скрипта и отображения списка файлов, внесенных в скрипт. Начнем с чтения табличной части протокола.
1. Цветовая схема
В соответствии с настройками Стандартных скриптов AVZ исключает из протоколов файлы, опознанные в соответствии с базой безопасных объектов. Это существенно уменьшает размер протокола и не требует от консультанта необходимости подозревать те уже проверенные разработчиком утилиты файлы, с которыми он еще не знаком. Однако протокол все же предусматривает возможность отображения безопасных элементов, поэтому в протоколе существует цветовое разграничение типов объектов.
Зеленым цветом выделяются объекты, опознанные по базе безопасных, но отраженные в протоколе по той или иной причине.
Красным цветом AVZ выделяет маскирующиеся объекты, выявленные системой антируткита.
Файлы, не отраженные в базе безопасных, но и не замеченные в маскировке, подсвечиваются оранжевым цветом.
2. Состав таблиц
Состав колонок таблиц зависит от конкретного менеджера, из которого получены данные. Ячейки таблицы либо заполняются данными, либо остаются пустыми. Имена файлов сопровождаются гиперссылками для быстрого формирования скриптов.
1) Список процессов (данные Диспетчера процессов)
В списке работающих процессов файл характеризуется
- именем и адресом
- PID (Process ID, идентификационный номер процесса)
- описанием
- копирайтом
- MD5
- дополнительной информацией о размере, дате создания и изменения, а также параметрах командной строки.
Образец строки из протокола:
Зачем эта таблица?
Список процессов позволяет выявить, какие полезные или вредоносные исполняемые файлы были запущены на исполнение в момент исследования системы. Многие вредоносные программы используют постоянно находящиеся в памяти процессы для тех или иных целей в зависимости от своего назначения.
Список процессов сопровождается таблицей загруженных DLL и в некоторой мере определяется ею. Если в пространство процесса, опознанного как безопасный, загружена неопознанная DLL, то процесс будет отображен в списке с зеленой подсветкой. В этом случае настройка исключения безопасных объектов не имеет силы.
В таблице загруженных DLL представлены следующие данные:
- имя и адрес модуля
- handle
- описание
- копирайт
- MD5
- информация о том, какими процессами используется данная DLL.
Образец строки из протокола:
Зачем эта таблица?
Многие средства диагностики отображают список DLL, зарегистрированных в автозапуске, но очень немногие способны показать, какие из них активны и в пространство какого процесса они загружены. Вместе с тем это важно: вредоносные DLL – весьма распространенное явление с широким спектром применения. Будучи внедренными в процесс, DLL способны следить за выполняемыми им действиями, изменять его поведение и так далее. В частности, с точки зрения брандмауэра DLL обычно не является отдельным сетевым объектом (если сетевой экран не следит за внедрением библиотек) и может поэтому пользоваться всеми сетевыми привилегиями процесса, в пространство которого она внедрена.