10.1. О технологии Boot Cleaner
Технология Boot Cleaner основана на KernelMode Boot драйвере, который выполняет заданную последовательность операций в момент загрузки системы. После выполнения заданных операций драйвер автоматически самоуничтожается. Основное назначение - борьба с трудноудаляемыми вредоносными программами, пересоздающими свои ключи реестра и файлы, или блокирующие доступ к ним. Драйвер системы Boot Cleaner размещен в AV базе и обновляется в ходе автоматического обновления.
Назначение:
·Удаление файлов
·Удаление ключей реестра
·Удаление драйверов и служб
Перечисленные операции выполняются в ходе загрузки системы.
Boot Cleaner является альтернативой отложенному удалению по ряду причин:
1. В Boot Cleaner предусмотрена возможность ведения протоколов. В протоколе отмечаются все выполняемые операции и фиксируется код статуса (0 - успешно, >0 - код ошибки)
2. Выполнение сценария Boot Cleaner происходит на раннем этапе загрузки системы, что повышает его эффективность
3. Boot Cleaner может удалять ключи реестра (и в частности драйверы и службы), в то время как отложенное удаление позволяет оперировать только с файлами.
Совместимость
Драйвер Boot Cleaner может применяться совместно с антируткитом, системами AVZ Guard и AVZ PM, а так-же с антивирусными мониторами и HIPS системами других производителей.
Управление системой
Управление системой производится средствами скриптового языка AVZ.
Набор команд и примеры подробно описаны в разделе Управление Boot Cleaner
Протоколы
В процессе работы BootCleaner может формировать текстовые протоколы. Имя и местоположение протокола задается пользователем при помощи команды. Рассмотрим пример скрипта (на момент выполнения скрипта в системе установлен драйвер PE386 и в папке Windows существует файл trojan1.exe):
begin
// Постановка задания
BC_DeleteSvc('PE386');
BC_DeleteFile('%Windir%\trojan1.exe');
BC_DeleteFile('%Windir%\trojan2.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Активация
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
После перезагрузки будет сформирован протокол:
-- AVZ Boot cleaner log --
DeleteFile \??\C:\WINDOWS\trojan1.exe - succeeded
DeleteFile \??\C:\WINDOWS\trojan2.exe - failed (0xC0000034)
Delete File \??\C:\WINDOWS\system32:lzx32.sys - succeeded
Delete Service & File PE386 - succeeded
-- End --
Структура протокола достаточно проста - в каждой строке указывается операция, имя обрабатываемого в ходе операции объекта и статус. Возможно два статуса:
-
succeeded - операция выполнена успешно
-
failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки.
Boot Cleaner позволяет удалять службы и драйверы, содержащие в имени символы с кодом 0 и любые Unicode символы. При формировании протокола символ с кодом 0 заменяется на "*", а не имеющие аналогов в ANSI Unicode символы заменяются на знаки "?"
Удаление файлов, ключей реестра, драйверов и служб при помощи Boot Cleaner может нанести существенный вред системе, поэтому применяйте Boot Cleaner только если Вы уверены в правильности своих действий !