# Форум на русском языке  > Чаво  >  AVZPM

## drongo

Бывает, что хелперы просят включить AVZPM, что ставит пользователя в тупик. Дабы не нужно было объяснять каждый раз что это и как это, попытаюсь рассказать и показать.

*Для включения AVZPM:*

 Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM( обведено красным на картинке...)

avzpm.jpg

Выбрать первую опцию: *установить драйвер расширенного мониторинга процессов.*
Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
Перегрузить компьютер. 
---------------------------------------------------------------------------------------------------
*Ещё вариант установки:*
Можно выполнить скрипт в AVZ 


```
 
begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.
```


*Для удаления AVZPM* ( ну если вдруг кто захочет, а также рекомендуется делать при смене версии самой AVZ, перед удалением оной)

Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM ( обведено красным )

 Выбрать нижнюю опцию :*удалить и выгрузить драйвер расширенного мониторинга процессов.
*
Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
Перегрузить компьютер. 

*
Ещё вариант удаления :*
Можно выполнить скрипт в AVZ  ( даже если вдруг   забыли  и удалили старую версию AVZ ):


```
 
begin
// Отключение AVZ PM 
SetAVZPMStatus(false);
// Удаление всех драйверов AVZ с диска и из реестра 
ExecuteStdScr(6);
// Перезагрузка
RebootWindows(true); 
end.
```

-----------------------------------------------------------------------------------------


_Немного теории взял из файла помощи по AVZ:_ 


Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением.  
*Назначение:*
Мониторинг запуска/остановки процессов
•Мониторинг загрузки/выгрузки драйверов
•Ведение списков процессов и загруженных модулей пространства ядра, независимых от системных.  

*Собираемая драйвером информация используется различными системами* *AVZ:*
•Антируткитом в ходе проверки системы. Если в системе доступен драйвер мониторинга, то собранные драйвером данные применяется для поиска маскирующихся процессов и драйверов, а так-же искажений в системных структурах (подмена PID, модификация имени модуля и т.п.)
•Диспетчером процессов AVZ - получаемые от драйвера сведения применяются для отображения маскирующихся процессов
•Диспетчером "Модули пространства ядра" - получаемые от драйвера сведения применяются для отображения маскирующихся драйверов
•Исследованием системы - получаемые от драйвера сведения применяются в ходе построения отчета по драйверам и модулям пространства ядра 
 Применение подобного драйвера является эффективным и документированным путем борьбы с многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.

* Совместимость*
 Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей.

--------------------------------------------------------------------------------------------------

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

