Показано с 1 по 1 из 1.

AVZPM

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    AVZPM

    Бывает, что хелперы просят включить AVZPM, что ставит пользователя в тупик. Дабы не нужно было объяснять каждый раз что это и как это, попытаюсь рассказать и показать.

    Для включения AVZPM:

    Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM( обведено красным на картинке...)

    avzpm.jpg

    Выбрать первую опцию: установить драйвер расширенного мониторинга процессов.
    Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
    Перегрузить компьютер.
    ---------------------------------------------------------------------------------------------------
    Ещё вариант установки:
    Можно выполнить скрипт в AVZ
    Код:
     
    begin
    SetAVZPMStatus(true);
    RebootWindows(true); 
    end.

    Для удаления AVZPM ( ну если вдруг кто захочет, а также рекомендуется делать при смене версии самой AVZ, перед удалением оной)

    Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM ( обведено красным )

    Выбрать нижнюю опцию :удалить и выгрузить драйвер расширенного мониторинга процессов.

    Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
    Перегрузить компьютер.


    Ещё вариант удаления :

    Можно выполнить скрипт в AVZ ( даже если вдруг забыли и удалили старую версию AVZ ):
    Код:
     
    begin
    // Отключение AVZ PM 
    SetAVZPMStatus(false);
    // Удаление всех драйверов AVZ с диска и из реестра 
    ExecuteStdScr(6);
    // Перезагрузка
    RebootWindows(true); 
    end.
    -----------------------------------------------------------------------------------------


    Немного теории взял из файла помощи по AVZ:


    Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением.
    Назначение:
    Мониторинг запуска/остановки процессов
    •Мониторинг загрузки/выгрузки драйверов
    •Ведение списков процессов и загруженных модулей пространства ядра, независимых от системных.


    Собираемая драйвером информация используется различными системами AVZ:
    •Антируткитом в ходе проверки системы. Если в системе доступен драйвер мониторинга, то собранные драйвером данные применяется для поиска маскирующихся процессов и драйверов, а так-же искажений в системных структурах (подмена PID, модификация имени модуля и т.п.)
    •Диспетчером процессов AVZ - получаемые от драйвера сведения применяются для отображения маскирующихся процессов
    •Диспетчером "Модули пространства ядра" - получаемые от драйвера сведения применяются для отображения маскирующихся драйверов
    •Исследованием системы - получаемые от драйвера сведения применяются в ходе построения отчета по драйверам и модулям пространства ядра

    Применение подобного драйвера является эффективным и документированным путем борьбы с многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.

    Совместимость
    Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей.

    --------------------------------------------------------------------------------------------------
    Последний раз редактировалось drongo; 13.08.2009 в 23:25. Причина: Павел,спасибо за подсказку ;)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. AVZPM не устанавливается
    От Мурад в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 17.10.2009, 13:56
  2. symantec ругается на AVZPM
    От Greyhawk в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 30.04.2009, 10:20
  3. что-то непонятное.. Applic popup.. AVZPM
    От coca в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 03.02.2009, 03:37
  4. не активируется avzguard avzpm
    От goose0943 в разделе Публичное бета-тестирование
    Ответов: 3
    Последнее сообщение: 26.05.2007, 22:08

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00520 seconds with 18 queries