-
AVZPM
Бывает, что хелперы просят включить AVZPM, что ставит пользователя в тупик. Дабы не нужно было объяснять каждый раз что это и как это, попытаюсь рассказать и показать.
Для включения AVZPM:
Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM( обведено красным на картинке...)
avzpm.jpg
Выбрать первую опцию: установить драйвер расширенного мониторинга процессов.
Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
Перегрузить компьютер.
---------------------------------------------------------------------------------------------------
Ещё вариант установки:
Можно выполнить скрипт в AVZ
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
Для удаления AVZPM ( ну если вдруг кто захочет, а также рекомендуется делать при смене версии самой AVZ, перед удалением оной)
Необходимо запустить AVZ(с правами администратора).Нажать на кнопку AVZPM ( обведено красным )
Выбрать нижнюю опцию :удалить и выгрузить драйвер расширенного мониторинга процессов.
Если появиться окошко, то согласиться ( Выбрать :ДА, ОК и тому подобное )
Перегрузить компьютер.
Ещё вариант удаления :
Можно выполнить скрипт в AVZ ( даже если вдруг забыли и удалили старую версию AVZ ):
Код:
begin
// Отключение AVZ PM
SetAVZPMStatus(false);
// Удаление всех драйверов AVZ с диска и из реестра
ExecuteStdScr(6);
// Перезагрузка
RebootWindows(true);
end.
-----------------------------------------------------------------------------------------
Немного теории взял из файла помощи по AVZ:
Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением.
Назначение:
Мониторинг запуска/остановки процессов
•Мониторинг загрузки/выгрузки драйверов
•Ведение списков процессов и загруженных модулей пространства ядра, независимых от системных.
Собираемая драйвером информация используется различными системами AVZ:
•Антируткитом в ходе проверки системы. Если в системе доступен драйвер мониторинга, то собранные драйвером данные применяется для поиска маскирующихся процессов и драйверов, а так-же искажений в системных структурах (подмена PID, модификация имени модуля и т.п.)
•Диспетчером процессов AVZ - получаемые от драйвера сведения применяются для отображения маскирующихся процессов
•Диспетчером "Модули пространства ядра" - получаемые от драйвера сведения применяются для отображения маскирующихся драйверов
•Исследованием системы - получаемые от драйвера сведения применяются в ходе построения отчета по драйверам и модулям пространства ядра
Применение подобного драйвера является эффективным и документированным путем борьбы с многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.
Совместимость
Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей.
--------------------------------------------------------------------------------------------------
Последний раз редактировалось drongo; 13.08.2009 в 23:25.
Причина: Павел,спасибо за подсказку ;)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: