AVZ 5. Руководство пользователя
×

11.1. О технологии ревизора

Встроенный в AVZ ревизор диска работает по классической схеме и предполагает выполнение двух операций
·Изучение имеющихся на диске файлов и построение базы данных, содержащих информацию о этих файлах.
·Сравнение текущего состояния диска с базой данных. Подобное сравнение позволяет обнаружить, какие файлы/папки были созданы, изменены или удалены с момента создания базы
·Сравнение может вестись в стандартном режиме (сравниваются размер файла и его контрольная сумма) и скоростном режиме (сравнивается только размер). Скоростной режим удобен для оперативной проверки диска.
 
Особенности:
Ревизор AVZ обладает несколькими особенностями, отличающими его от аналогов:
1. База может размещаться на любом носителе и может храниться где угодно (например, на Flash диске или в сетевой папке). Для достижения такой мобильности в базе хранятся все настройки, необходимые для проведения сравнения.
2. Для одного компьютера можно создать неограниченное количество баз, сформировав несколько "снимков" в разные моменты времени или с разными настройками
3. После формирования база сжимается для экономии места. База с результатами анализа папки Windows системы Windows XP занимает на диске около 60 кб, в реальной системе - 50-150 кб (в среднем получается 10 кб базы на 1000 файлов). Небольшой объем базы позволяет хранить ее на Flash диске
4. Встроенный ревизор AVZ связан с базой безопасных файлов, что позволяет исключать из протокола сравнения файлы, опознанные по базе безопасных AVZ или по каталогу безопасности Microsoft
5. Ревизор защищен встроенным антируткитом AVZ
 
Назначение:
Основным назначением ревизора является:
 
1. Поиск модификаций на диске защищаемого компьютера. Позволяет установить, какие файлы были созданы, изменены или удалены с момент построения базы. Кроме того, регистрируется создание и удаление каталогов.
 
2. Поиск файлов, маскируемых руткитом. Для выполнения данной операции необходимо
2.1 создать базу ревизора, включив в нее системную папку и папки, в которых предполагается наличие руткитов. Построение базы можно вести в быстром режиме для экономии времени)
2.2 выполнить сканирование компьютера с включенным противодействием руткитам
2.3 не выходя из AVZ произвести сравнение текущего состояния с базой, построенной на шаге 2.1.
 
3. Сравнение содержимого некоторой папки на двух идентичных компьютерах
 
Области применения:
1. Периодический контроль состояния ПК. Для этого необходимо создать базу для системного диска и хранить ее в надежном месте. Далее с некоторой периодичностью можно сравнивать текущее состояние диска с базой
2. Поиск руткитов
3. Отслеживание изменений на ПК пользователей в корпоративной сети. В этом случае базы ревизора можно хранить централизованно на сервере или ПК администратора