AVZ 5. Руководство пользователя
×
Меню
Индекс

10.1. О технологии Boot Cleaner

Технология Boot Cleaner основана на KernelMode Boot драйвере, который выполняет заданную последовательность операций в момент загрузки системы. После выполнения заданных операций драйвер автоматически самоуничтожается. Основное назначение - борьба с трудноудаляемыми вредоносными программами, пересоздающими свои ключи реестра и файлы, или блокирующие доступ к ним. Драйвер системы Boot Cleaner размещен в AV базе и обновляется в ходе автоматического обновления.
 
Назначение:
·Удаление файлов
·Удаление ключей реестра
·Удаление драйверов и служб
Перечисленные операции выполняются в ходе загрузки системы.
 
Boot Cleaner является альтернативой отложенному удалению по ряду причин:
1. В Boot Cleaner предусмотрена возможность ведения протоколов. В протоколе отмечаются все выполняемые операции и фиксируется код статуса (0 - успешно, >0 - код ошибки)
2. Выполнение сценария Boot Cleaner происходит на раннем этапе загрузки системы, что повышает его эффективность
3. Boot Cleaner может удалять ключи реестра (и в частности драйверы и службы), в то время как отложенное удаление позволяет оперировать только с файлами.
 
Совместимость
Драйвер Boot Cleaner может применяться совместно с антируткитом, системами AVZ Guard и AVZ PM,  а так-же с антивирусными мониторами и HIPS системами других производителей.
 
Управление системой
Управление системой производится средствами скриптового языка AVZ.
Набор команд и примеры подробно описаны в разделе Управление Boot Cleaner
 
Протоколы
В процессе работы BootCleaner может формировать текстовые протоколы. Имя и местоположение протокола задается пользователем при помощи команды. Рассмотрим пример скрипта (на момент выполнения скрипта в системе установлен драйвер PE386 и в папке Windows существует файл trojan1.exe):
begin
  // Постановка задания
  BC_DeleteSvc('PE386');
  BC_DeleteFile('%Windir%\trojan1.exe');
  BC_DeleteFile('%Windir%\trojan2.exe');
  BC_LogFile(GetAVZDirectory + 'boot_clr.log');
  // Активация
  BC_Activate;
  // Перезагрузка
  RebootWindows(true);
end.
 
После перезагрузки будет сформирован протокол:
-- AVZ Boot cleaner log --
DeleteFile \??\C:\WINDOWS\trojan1.exe - succeeded
DeleteFile \??\C:\WINDOWS\trojan2.exe - failed (0xC0000034)
Delete File \??\C:\WINDOWS\system32:lzx32.sys - succeeded
Delete Service & File PE386 - succeeded
-- End --
 
Структура протокола достаточно проста - в каждой строке указывается операция, имя обрабатываемого в ходе операции объекта и статус. Возможно два статуса:
Boot Cleaner позволяет удалять службы и драйверы, содержащие в имени символы с кодом 0 и любые Unicode символы. При формировании протокола символ с кодом 0 заменяется на "*", а не имеющие аналогов в ANSI Unicode символы заменяются на знаки "?"
 
Удаление файлов, ключей реестра, драйверов и служб при помощи Boot Cleaner может нанести существенный вред системе, поэтому применяйте Boot Cleaner только если Вы уверены в правильности своих действий !