PDA

Просмотр полной версии : AVZPM



drongo
10.09.2007, 18:23
Бывает, что хелперы просят включить AVZPM, что ставит пользователя в тупик. Дабы не нужно было объяснять каждый раз что это и как это, попытаюсь рассказать и показать.

Для включения AVZPM:

Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM( обведено красным на картинке...)

17143

Выбрать первую опцию: установить драйвер расширенного мониторинга процессов.
Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
Перегрузить компьютер.
---------------------------------------------------------------------------------------------------
Ещё вариант установки:
Можно выполнить скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239)


begin
SetAVZPMStatus(true);
RebootWindows(true);
end.


Для удаления AVZPM ( ну если вдруг кто захочет, а также рекомендуется делать при смене версии самой AVZ, перед удалением оной)

Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM ( обведено красным )

Выбрать нижнюю опцию :удалить и выгрузить драйвер расширенного мониторинга процессов.

Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
Перегрузить компьютер.


Ещё вариант удаления :
Можно выполнить скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239) ( даже если вдруг забыли и удалили старую версию AVZ ):


begin
// Отключение AVZ PM
SetAVZPMStatus(false);
// Удаление всех драйверов AVZ с диска и из реестра
ExecuteStdScr(6);
// Перезагрузка
RebootWindows(true);
end.

-----------------------------------------------------------------------------------------


Немного теории взял из файла помощи по AVZ:


Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением.
Назначение:

Мониторинг запуска/остановки процессов
•Мониторинг загрузки/выгрузки драйверов
•Ведение списков процессов и загруженных модулей пространства ядра, независимых от системных.


Собираемая драйвером информация используется различными системами AVZ:

•Антируткитом в ходе проверки системы. Если в системе доступен драйвер мониторинга, то собранные драйвером данные применяется для поиска маскирующихся процессов и драйверов, а так-же искажений в системных структурах (подмена PID, модификация имени модуля и т.п.)
•Диспетчером процессов AVZ - получаемые от драйвера сведения применяются для отображения маскирующихся процессов
•Диспетчером "Модули пространства ядра" - получаемые от драйвера сведения применяются для отображения маскирующихся драйверов
•Исследованием системы - получаемые от драйвера сведения применяются в ходе построения отчета по драйверам и модулям пространства ядра

Применение подобного драйвера является эффективным и документированным путем борьбы с многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.

Совместимость
Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей.

--------------------------------------------------------------------------------------------------